CE_v2_SP

NetScreen conceptos y ejemplosreenOS

s

ScreenOS 5.1.0

Ref. 093-1367-000-SP

Revisión B

Manual de referencia de Sc

Volumen 2: Fundamento

compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreen’s installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation. interference to radio or television y turning the equipment off and on, the e interference by one or more of the

ing antenna.

en the equipment and receiver.

ienced radio/TV technician for help.

utlet on a circuit different from that to d.

o this product could void the user's device.

ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE

WARRANTY, CONTACT YOUR OR A COPY.

Copyright NoticeCopyright © 2004 Juniper Networks, Inc. All rights reserved.Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.Information in this document is subject to change without notice.No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from: Juniper Networks, Inc.ATTN: General Counsel1194 N. Mathilda Ave.Sunnyvale, CA 94089-1206

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a paIf this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:

• Reorient or relocate the receiv

• Increase the separation betwe

• Consult the dealer or an exper

• Connect the equipment to an owhich the receiver is connecte

Caution: Changes or modifications twarranty and authority to operate this

DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F

Contenido

i

..........................................31

..............................................34................................................... 34

................................................... 34

..............................................35 una interfaz de túnel únel ............................................ 36

as de seguridad y zonas ..............................................37na............................................... 37

zona ........................................ 38

ona ........................................... 39

..............................................40................................................... 40

................................................... 40

................................................... 40

................................................... 40

................................................... 40

..............................................41os modos de puertos ................. 47e puerto Home-Work ................ 48

“Home-Work” ................................................... 49ome-Work ................................. 51

..........................................53

..............................................55

Juniper Networks NetScreen conceptos y ejemplos – Volumen 2: Fundamentos

ContenidoPrefacio ........................................................................ ix

Convenciones ............................................................ x

Convenciones de la interfaz de línea de comandos (CLI) ....................................................... x

Convenciones de la interfaz gráfica (WebUI) .............. xi

Convenciones para las ilustraciones.......................... xiii

Convenciones de nomenclatura y conjuntos de caracteres ..................................................................xiv

Documentación de NetScreen de Juniper Networks ................................................. xv

Capítulo 1 Arquitectura de ScreenOS...........................1

Zonas de seguridad ...................................................2

Interfaces de zonas de seguridad .............................3

Interfaces físicas ...........................................................3

Subinterfaces................................................................4

Enrutadores virtuales ..................................................5

Directivas....................................................................6

VPNs............................................................................9

Sistemas virtuales......................................................11

Secuencia de flujo de paquetes .............................12

Ejemplo (1ª parte): Empresa con seis zonas ........16

Ejemplo (2ª parte): Interfaces para seis zonas.....18

Ejemplo (3ª parte): Dos dominios de enrutamiento ..................................................22

Ejemplo (4ª parte): Directivas...............................25

Capítulo 2 Zonas ..............

Zonas de seguridad ...Zona Global ............

Opciones SCREEN ...

Zonas de túnel............Ejemplo: Asociara una zona de t

Configuración de zonde túnel ......................

Creación de una zo

Modificación de una

Eliminación de una z

Zonas de función .......Zona Null .................

Zona MGT................

Zona HA...................

Zona Self .................

Zona VLAN...............

Modos de puerto........Establecimiento de l

Ejemplo: Modo d

Zonas en los modos y “Combined Port” ..

Ejemplo: Zonas H

Capítulo 3 Interfaces ........

Tipos de interfaces .....

Contenido

ii

r una interfaz de la zona ................................................... 74

arias ......................................75direcciones IP secundarias ........ 75na dirección IP secundaria....... 76

..............................................77na interfaz loopback................. 77

pback....................................... 78 loopback para n ................................................. 78 una interfaz loopback .............. 79 una interfaz loopback............... 79 loopback como interfaz ................................................... 80

e la interfaz ...........................81nexión física............................... 83

cciones IP................................... 84el seguimiento de IP .................. 85ración del seguimiento de IP

................................................... 87

aces ........................................... 91rfaces supervisadas.................. 93e supervisión de interfaces ....... 94

s de seguridad ........................... 98

y flujo de tráfico ......................... 99z de salida.............................. 100z de entrada .......................... 103

terfaces..........................107

............................................108................................................. 109................................................. 1092 predefinidas.......................... 109


Interfaces de zonas de seguridad..............................55Físicas...................................................................55Subinterfaz............................................................55Interfaces agregadas ..........................................56Interfaces redundantes ........................................56Interfaces de seguridad virtuales .........................56

Interfaces de zonas de función..................................57Interfaz de administración....................................57Interfaz de HA.......................................................57

Interfaces de túnel......................................................58Eliminar interfaces de túnel ..................................62Ejemplo: Eliminar una interfaz de túnel ................62

Visualización de interfaces.......................................64Tabla de interfaces ..............................................64

Configuración de interfaces de la zona de seguridad............................................................66

Asociación de una interfaz a una zona de seguridad..............................................................66

Ejemplo: Asociar una interfaz ...............................66

Direccionamiento de una interfaz de la zona de seguridad L3 .........................................................67

Direcciones IP públicas ........................................68Direcciones IP privadas........................................69Ejemplo: Direccionamiento de una interfaz.........69

Desasociación de una interfaz de una zona de seguridad..............................................................70

Ejemplo: Desasociar una interfaz .........................70

Modificación de interfaces ........................................71Ejemplo: Modificar los ajustes de la interfaz ........72

Creación de subinterfaces.........................................73Ejemplo: Subinterfaz en el sistema raíz.................73

Eliminación de subinterfaces......................................74

Ejemplo: Eliminade seguridad ....

Direcciones IP secundPropiedades de las

Ejemplo: Crear u

Interfaces loopback...Ejemplo: Crear u

Uso de interfaces looEjemplo: Interfazla administracióEjemplo: BGP enEjemplo: VSIs enEjemplo: Interfazde origen ..........

Cambios de estado dSupervisión de la co

Seguimiento de direConfiguración dEjemplo: Configude interfaz.........

Supervisión de interfEjemplo: Dos inteEjemplo: Bucle d

Supervisión de zona

Interfaces inactivas Fallo en la interfaFallo en la interfa

Capítulo 4 Modos de las in

Modo transparente ....Ajustes de zona .......

Zona VLAN.........Zonas de capa

Contenido

iii

e servicios............................... 156cer el tiempo de espera ................................................. 157

................................................. 158un servicio ICMP....................... 159

................................................. 160

re Call Application ................................................. 160as de llamadas RPC ................ 160

............................................... 161s Sun RPC ................................ 162

cedure Call Application ................................................. 163RPC........................................... 164ios MS RPC .............................. 167s para MS RPC ........................ 167

Protocol Application ................................................. 169ición RTSP.................................. 171do de RTSP............................... 173r de medios en un dominio ................................................. 175r de medios en un dominio ................................................. 178

“Voice-over-IP” ...................... 181 selector (“gatekeeper”) en do “transparente” o “ruta”)...... 181 selector (“gatekeeper”) en

odo transparente o ruta) ....... 183as salientes con NAT................ 186as entrantes con NAT .............. 191 selector en la zona Untrust ................................................. 195


Reenvío de tráfico ....................................................110

Opciones “unicast” desconocidas ...........................112Método de inundación ......................................113Método ARP/Trace-Route....................................115Ejemplo: Interfaz VLAN1 para administración.....119Ejemplo: Modo transparente..............................122

Modo NAT...............................................................127Tráfico NAT entrante y saliente..................................129

Ajustes de interfaz .....................................................130Ejemplo: Modo NAT ............................................131

Modo de ruta .........................................................135Ajustes de interfaz .....................................................136

Ejemplo: Modo de ruta ......................................137

Capítulo 5 Bloques para la construcción de directivas..............................................................141

Direcciones ............................................................143Entradas de direcciones...........................................144

Ejemplo: Agregar direcciones............................144Ejemplo: Modificar direcciones .........................145Ejemplo: Eliminar direcciones ............................146

Grupos de direcciones.............................................146Ejemplo: Crear un grupo de direcciones...........148Ejemplo: Editar una entrada de grupo de direcciones ...................................................149Ejemplo: Eliminar un miembro y un grupo .........150

Servicios..................................................................151Servicios predefinidos...............................................151

Servicios personalizados...........................................153Ejemplo: Agregar un servicio personalizado......154Ejemplo: Modificar un servicio personalizado....155Ejemplo: Eliminar un servicio personalizado.......155

Tiempos de espera dEjemplo: Establede un servicio ...

Servicios ICMP .........Ejemplo: Definir

RSH ALG...................

Sun Remote ProceduLayer Gateway........

Situaciones típicServicios Sun RPCEjemplo: Servicio

Microsoft Remote ProLayer Gateway........

Servicios de MS Grupos de servicEjemplo: Servicio

Real Time StreamingLayer Gateway........

Métodos de petCódigos de estaEjemplo: Servidoprivado .............Ejemplo: Servidopúblico .............

Protocolo H.323 paraEjemplo: Equipola zona Trust (moEjemplo: Equipola zona Untrust (mEjemplo: LlamadEjemplo: LlamadEjemplo: Equipocon NAT.............

Contenido

iv

n la zona pública .................... 243iple, proxy en DMZ ................... 247intrazonal ................................. 253razonal..................................... 259 malla completa para SIP........ 263

ncho de banda para ................................................. 271

................................................. 274n grupo de servicios................ 275ar un grupo de servicios ......... 276r un grupo de servicios ............ 277

............................................278irecciones de puertos ............. 279n conjunto de DIP con PAT ...... 279ar un conjunto de DIP ............. 281

ky”............................................ 281

DIP ........................................... 282 en otra subred....................... 282

ertido ("loopback") y DIP.......... 291una interfaz loopback.............. 292

................................................. 297de DIP ...................................... 299

............................................301rogramada repetitiva ............. 301

........................................305

............................................307

...........................................308s.............................................. 308

es.............................................. 309

................................................. 310

directivas............................311


Protocolo de inicio de sesión (“Session Initiation Protocol” o “SIP”) .......................................................200

Métodos de petición del protocolo SIP ..............201Clases de respuestas SIP ....................................204ALG – Application-Layer Gateway .....................206SDP .....................................................................207Creación de ojos de aguja ...............................208Tiempo de espera por inactividad de la sesión ........................................................211Protección contra ataques SIP ...........................212Ejemplo: SIP Protect Deny...................................212Ejemplo: Tiempos de espera por inactividad de señalización o de medios.............................213Ejemplo: Protección contra inundaciones UDP..213Ejemplo: Máximo de conexiones SIP..................214

SIP con traducción de direcciones de red (NAT)......215Llamadas salientes.............................................216Llamadas entrantes............................................216Llamadas reenviadas.........................................217Terminación de la llamada................................217Mensajes de llamada Re-INVITE .........................217Temporizadores de sesiones de llamadas .........218Cancelación de la llamada ..............................218Bifurcación .........................................................218Mensajes del SIP.................................................219Encabezados SIP ................................................219Cuerpo SIP..........................................................223Supuesto de NAT con el protocolo SIP................223Soporte de llamadas SIP entrantes utilizando el servidor de registro del SIP..............................226Ejemplo: Llamada entrante (DIP de interfaz) ......228Ejemplo: Llamada entrante (conjunto de DIP) ...232Ejemplo: Llamada entrante con MIP..................236Ejemplo: Proxy en la zona privada.....................239

Ejemplo: Proxy eEjemplo: Zona trEjemplo: Untrust Ejemplo: Trust intEjemplo: VPN de

Administración del aservicios de VoIP......

Grupos de servicios.Ejemplo: Crear uEjemplo: ModificEjemplo: Elimina

Conjuntos de DIP........Traducción de dEjemplo: Crear uEjemplo: Modific

Direcciones DIP “stic

Interfaz extendida y Ejemplo: Usar DIP

Interfaz de bucle invEjemplo: DIP en

Grupos de DIP .........Ejemplo: Grupo

Tareas programadas..Ejemplo: Tarea p

Capítulo 6 Directivas ........

Elementos básicos......

Tres tipos de directivasDirectivas interzonale

Directivas intrazonal

Directivas globales..

Listas de conjuntos de

Contenido

v

to de directivas interzonales.... 337as intrazonales ........................ 344a global .................................. 347

texto de una directiva ............ 348

r componente de directiva ..... 349

iones........................................ 351ión de la dirección ................................................. 351

ctivación de directivas............ 355

tivas ........................................ 356

directivas ................................ 357

irectiva ................................... 358

tráfico..............................359

ación de tráfico .................360ncho de banda a nivel ................................................. 360 tráfico ..................................... 361

prioridades del servicio .....367ar colas de prioridades .......... 368

sistema...........................375

NS (sistema de nombres ............................................377................................................. 378

DNS.......................................... 379r DNS y programación de ................................................. 380cer un intervalo de DNS................................... 381

................................................. 382ración de DDNS para s.............................................. 383


Definición de directivas..........................................312Directivas y reglas ....................................................312

Anatomía de una directiva ......................................314ID ........................................................................315Zonas..................................................................315Direcciones ........................................................315Servicios..............................................................316Acción................................................................317Aplicación ..........................................................318Nombre ..............................................................318Tunelización VPN ................................................319Tunelización L2TP ................................................319Deep Inspection.................................................320Colocación al principio de la lista de directivas ......................................................320Traducción de direcciones de origen ...............321Traducción de direcciones de destino ..............321Autenticación de usuarios..................................321Copia de seguridad de la sesión HA .................324Filtrado de URL....................................................325Registro...............................................................325Recuento............................................................325Umbral de alarma de tráfico .............................326Tareas programadas..........................................326Análisis antivirus ..................................................326Asignación de tráfico.........................................327

Directivas aplicadas...............................................329Visualización de directivas .......................................329

Iconos de directivas ...........................................329

Creación de directivas.............................................331Ubicación de directivas .....................................331Ejemplo: Servicio de correo de directivas interzonales ........................................................332

Ejemplo: ConjunEjemplo: DirectivEjemplo: Directiv

Introducción del con

Varios elementos po

Negación de direccEjemplo: Negacde destino.........

Modificación y desa

Verificación de direc

Reordenamiento de

Eliminación de una d

Capítulo 7 Asignación de

Aplicación de la asignAdministración del ade directivas ...........

Ejemplo: Asignar

Establecimiento de lasEjemplo: Gestion

Capítulo 8 Parámetros del

Compatibilidad con Dde dominio)................

Consulta DNS ..........

Tabla de estado de Ejemplo: ServidoactualizacionesEjemplo: Establede actualización

DNS dinámico .........Ejemplo: Configuel servidor dyndn

Contenido

vi

s instancias PPPoE ................... 419

ilidad ...................................... 422

dación de firmware ............423alizar o degradar firmware ................................................. 424rvidor de NetScreen-Security ................................................. 425

firmware .................................. 426 firmware ................................. 429

gador de arranque o ativo ........................................ 431

positivos NetScreen en una ................................................. 434 dispositivos en una

SRP activa/pasiva..................... 434itivos en una configuración va............................................. 439

y archivos DI............................. 445ertificado de autenticación .... 445cado de autenticación ........... 447 firmware de ScreenOS........... 448 un archivo de base

etos de ataques DI .................. 448

configuraciones .................450mportación de ajustes............. 450

lback”) de una configuración . 452ción correcta conocida .......... 452automática y manual de una ................................................. 453evo archivo de configuración . 454

de configuración.................... 455entarios en un archivo de

................................................. 456


Ejemplo: Configuración de DDNS para el servidor de ddo..............................................384

División de direcciones del DNS proxy .....................385Ejemplo: Dividir peticiones de DNS ....................386

DHCP: Protocolo de configuración dinámica de hosts ..................................................................388

Servidor DHCP...........................................................390Ejemplo: Dispositivo NetScreen como servidor DHCP.....................................................390Opciones del servidor DHCP ..............................396Ejemplo: Opciones de servidor DHCP personalizadas ...................................................397Servidor DHCP en un clúster de NSRP .................397Detección del servidor DHCP .............................398Ejemplo: Activar la detección de servidores DHCP ..................................................................399Ejemplo: Desactivar la detección de servidores DHCP .................................................399

Agente de retransmisión de DHCP ...........................400Ejemplo: Dispositivo NetScreen como agente de retransmisión de DHCP..................................401

Cliente DHCP ............................................................406Ejemplo: Dispositivo NetScreen como cliente DHCP ......................................................406

Propagación de los ajustes TCP/IP............................408Ejemplo: Reenviar ajustes TCP/IP ........................409

PPPoE......................................................................411Ejemplo: Configurar PPPoE .................................411Ejemplo: Configurar PPPoE en las interfaces principal y de respaldo de la zona Untrust ........416

Múltiples sesiones PPPoE a través de una sola interfaz ..............................................................417

Interfaces no etiquetadas ..................................418

Ejemplo: Múltiple

PPPoE y alta disponib

Actualización o degraRequisitos para actudel dispositivo .........

Conexión del seManager...........

Descarga de nuevoCarga de nuevoMediante el cardel sistema oper

Actualización de disconfiguración NSRP.

Actualización deconfiguración NActualizar disposNSRP activa/acti

Autenticar firmware Obtención del cCarga del certifiAutenticación deAutenticación dede datos de obj

Descarga y carga deAlmacenamiento e i

Retroactivación (“rolÚltima configuraRetroactivación configuración ...Carga de un nu

Bloqueo del archivoInclusión de comconfiguración ...

Contenido

vii

............................................465

................................................. 465

................................................. 465

................................................. 466

res NTP ..................................... 466

l máximo................................. 467

NSRP ........................................ 468

rar servidores NTP y un horario máximo...................... 468

guros....................................... 469

......................................... IX-I


Establecer Bulk-CLI de NetScreen-Security Manager ................................................................458

Claves de licencia .................................................459Ejemplo: Ampliar la capacidad de usuarios......460

Registro y activación de los servicios de suscripción ........................................................461

Servicio temporal......................................................461

Paquete de AV, filtrado de URLs y DI incluido con un dispositivo nuevo..........................................462

Actualización de AV, filtrado de URLs y DI en un dispositivo existente ........................................463

Sólo actualización de DI...........................................464

Reloj del sistema ........

Fecha y hora...........

Huso horario ............

NTP ..........................

Múltiples servido

Desfase tempora

Protocolos NTP y

Ejemplo: Configuvalor de desfase

Servidores NTP se

Índice ................................

Contenido

viii

ix

s, incluyendo ejemplos de

de seguridad virtuales (VSIs), Ns

aducción de direcciones de red

ados para crear directivas y

ación o el relevo de ajustes

un dispositivo NetScreen

een


Prefacio

El Volumen 2, “Fundamentos” describe la arquitectura de ScreenOS y sus elementoconfiguración de algunos de ellos. En este volumen se describen:

• Conceptos generales sobre la arquitectura de ScreenOS

• Zonas de seguridad, de túneles y de funciones

• Distintos tipos de interfaz, como interfaces físicas, subinterfaces, interfacesinterfaces redundantes, interfaces agregadas e interfaces de túnel para VP

• Modos de interfaz en los que pueden funcionar las interfaces NetScreen: tr(NAT), ruta y transparente

• Directivas para controlar el tráfico a través de una interfaz y elementos utilizredes privadas virtuales, como direcciones, usuarios o servicios

• Conceptos de administración de tráfico

• Parámetros de sistema para las siguientes funciones:

– Asignación de direcciones del sistema de nombres de dominio (DNS)

– Protocolo de configuración dinámica de servidor (DHCP) para la asignTCP/IP

– Filtrado de URL

– Carga y descarga de ajustes de configuración y software hacia/desde

– Claves de licencia para ampliar las funciones de un dispositivo NetScr

– Configuración del reloj del sistema

Prefacio Convenciones

x

guientes secciones:

)s de la interfaz de línea de

por barras verticales ( | ).

manage, ethernet2 o ethernet3”.

vo en el caso de las variables, ra visualizar el número de serie

permitan al sistema reconocer te escribir set adm u joe . Aunque este método se se representan con sus


CONVENCIONES

Este documento contiene distintos tipos de convenciones, que se explican en las si

• “Convenciones de la interfaz de línea de comandos (CLI)”

• “Convenciones de la interfaz gráfica (WebUI)” en la pàgina xi

• “Convenciones para las ilustraciones” en la pàgina xiii

• “Convenciones de nomenclatura y conjuntos de caracteres” en la pàgina xiv

Convenciones de la interfaz de línea de comandos (CLILas siguientes convenciones se utilizan para representar la sintaxis de los comandocomandos (CLI):

• Los comandos entre corchetes [ ] son opcionales.

• Los elementos entre llaves { } son obligatorios.

• Si existen dos o más opciones alternativas, aparecerán separadas entre sí Por ejemplo:

set interface { ethernet1 | ethernet2 | ethernet3 } significa “establecer las opciones de administración de la interfaz ethernet1

• Las variables aparecen en cursiva. Por ejemplo:

set admin user name password

Los comandos CLI insertados en el contexto de una frase aparecen en negrita (salque siempre aparecen en cursiva ). Por ejemplo: “Utilice el comando get system pade un dispositivo NetScreen”.

Nota: Para escribir palabras clave, basta con introducir los primeros caracteres quede forma inequívoca la palabra que se está introduciendo. Por ejemplo, es suficienj12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54puede utilizar para introducir comandos, en la presente documentación todos ellos palabras completas.


xi

e la WebUI por las que se adro de diálogo de New . A continuación se

bretas de direcciones.

New. diálogo de configuración

4


Convenciones de la interfaz gráfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegación dpasa al hacer clic en opciones de menú y vínculos. Por ejemplo, la ruta para abrir el cuconfiguración de direcciones se representa como sigue: Objects > Addresses > List >muestra la secuencia de navegación.

1. Haga clic en Objects en la columna de menú.La opción de menú Objects se desplegará para mostrar las opciones subordinadas que contiene.

2. (Menú Applet) Sitúe el mouse sobre Addresses.(Menú DHTML) Haga clic en Addresses.La opción de menú Addresses se desplegará para mostrar las opciones subordinadas que contiene.

3. Haga clic en List.Aparecerá la tabla de li

4. Haga clic en el vínculo Aparecerá el cuadro dede nuevas direcciones.

1

2

3


xii

e diálogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuración que se deben

lic en OK :

Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.


Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodrá definir objetos y establecer parámetros de ajuste. El conjunto de instruccionespartes: la ruta de navegación y los datos de configuración. Por ejemplo, el siguienteincluye la ruta al cuadro de diálogo de configuración de direcciones y los ajustes derealizar:

Objects > Addresses > List > New: Introduzca los siguientes datos y haga cAddress Name: addr_1IP Address/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust

Zone: Untrust

Haga clic en OK .

Address Name: addr_1

IP Address Name/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32


xiii

ustraciones de este manual:

ed de área local (LAN) con na única subredejemplo: 10.1.1.0/24)

nternet

quipo de escritorio

ervidor

ispositivo de red genéricoejemplos: servidor NAT, oncentrador de acceso)

quipo portátil

ango de direcciones IP dinámicas DIP)


Convenciones para las ilustracionesLos siguientes gráficos conforman el conjunto básico de imágenes utilizado en las il

Dispositivo NetScreen genérico

Zona de seguridad

Interfaces de zonas de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust)

Icono de enrutador (router)

Icono de conmutador (switch)

Dominio de enrutamiento virtual

Túnel VPN

Ru(

I

E

S

D(c

Interfaz de túnel

E

R(


xiv

rescomo direcciones, usuarios ales, túneles de VPN y zonas)

n espacio, la ejemplo,

entrecomillada;

or el contrario, en e indistintamente.

últiples bytes (MBCS). Algunos ntre los conjuntos MBCS,

encuentran el chino, el coreano

ión de las comillas dobles ( “ ), res que contengan espacios.

mite tanto SBCS como MBCS,


Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticación, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.

• Si la secuencia de caracteres que conforma un nombre contiene al menos ucadena completa deberá entrecomillarse mediante comillas dobles ( “ ); porset address trust “local LAN” 10.1.1.0/24 .

• NetScreen eliminará cualquier espacio al comienzo o al final de una cadenapor ejemplo, “ local LAN ” se transformará en “local LAN”.

• NetScreen tratará varios espacios consecutivos como uno solo.

• En las cadenas de nombres se distingue entre mayúsculas y minúsculas; pmuchas palabras clave de la interfaz de línea de comandos pueden utilizarsPor ejemplo, “local LAN” es distinto de “local lan”.

ScreenOS admite los siguientes conjuntos de caracteres:

• Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambién conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japonés.

• Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb

Nota: Una conexión de consola sólo admite conjuntos SBCS. La WebUI adsegún el conjunto de caracteres que admita el explorador web.

Prefacio Documentación de NetScreen de Juniper Networks

xv

r Networks, visite

ase Manager” en la página web os EE.UU.) o al

n nosotros a través de la


DOCUMENTACIÓN DE NETSCREEN DE JUNIPER NETWORKS

Para obtener documentación técnica sobre cualquier producto NetScreen de Junipewww.juniper.net/techpubs/.

Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo “Chttp://www.juniper.net/support/ o llame al teléfono 1-888-314-JTAC (si llama desde l+1-408-745-9500 (si llama desde fuera de los EE.UU.).

Si encuentra algún error o omisión en esta documentación, póngase en contacto cosiguiente dirección de correo electrónico:

[email protected]

http://www.juniper.net/techpubs/

http://www.juniper.net/support/

mailto:[email protected]

Prefacio Documentación de NetScreen de Juniper Networks

xvi

1

1

Capítulo 1

ran flexibilidad a la hora de ás de dos interfaces es posible entro de una zona (tráfico terfaces a cada zona y habilitar ataques al cortafuegos. necesita, asignar el número de specíficas.

rincipales:

ra procesar el tráfico, en la de un paquete entrante.

sica de un dispositivo


Arquitectura de ScreenOS

La arquitectura del sistema NetScreen ScreenOS de Juniper Networks ofrece una gdiseñar la estructura de seguridad de una red. En los dispositivos NetScreen con mcrear numerosas zonas de seguridad y configurar directivas para regular el tráfico dintrazonal) y entre zonas distintas (tráfico interzonal). Puede enlazar una o varias inen cada zona un conjunto distinto de opciones de administración y de vigilancia de Básicamente, ScreenOS permite crear el número de zonas que cada entorno de redinterfaces que cada zona necesita, y diseñar cada interfaz según las necesidades e

En este capítulo se presenta ScreenOS, describiendo los siguientes componentes p

• “Zonas de seguridad” en la pàgina 2

• “Interfaces de zonas de seguridad” en la pàgina 3

• “Enrutadores virtuales” en la pàgina 5

• “Directivas” en la pàgina 6

• “VPNs” en la pàgina 9

• “Sistemas virtuales” en la pàgina 11

Además, para ayudarle a comprender mejor el mecanismo que utiliza ScreenOS pasección “Secuencia de flujo de paquetes” en la pàgina 12 verá la secuencia de flujo

El capítulo concluye con un ejemplo en cuatro partes que ilustra la configuración báNetScreen utilizando ScreenOS:

• “Ejemplo (1ª parte): Empresa con seis zonas” en la pàgina 16

• “Ejemplo (2ª parte): Interfaces para seis zonas” en la pàgina 18

• “Ejemplo (3ª parte): Dos dominios de enrutamiento” en la pàgina 22

• “Ejemplo (4ª parte): Directivas” en la pàgina 25

Capítulo 1 Arquitectura de ScreenOS Zonas de seguridad

2

uiere regular el tráfico entrante de seguridad son entidades dispositivos NetScreen, podrá ades de su red. Además de las Untrust y DMZ (para el nto de la capa 2)2. Si lo desea,

as predefinidas y utilizar s de zonas (predefinidas y s zonas permite diseñar la red

ión, consulte “Zona Global” en la ciones no contiene segmentos de red.

rán intactas.

s por el usuario. Cuando se elimina

t

ispositivo NetScreen


ZONAS DE SEGURIDADUna zona de seguridad es un conjunto de uno o varios segmentos de red, lo que reqy saliente por medio de directivas (consulte “Directivas” en la pàgina 6)1. Las zonas lógicas que tienen asociadas una o varias interfaces. Si dispone de distintos tipos dedefinir múltiples zonas de seguridad, dependiendo su número exacto de las necesidzonas definidas por el usuario, también puede utilizar las zonas predefinidas: Trust,funcionamiento de la capa 3), o V1-Trust, V1-Untrust y V1-DMZ (para el funcionamiepuede seguir utilizando sólo las zonas predefinidas. También puede ignorar las zonexclusivamente las definidas por el usuario3. También es posible utilizar los dos tipodefinidas por el usuario) simultáneamente. Esta flexibilidad en la configuración de laque mejor responda a sus necesidades específicas.

1. La única zona de seguridad que no necesita ningún segmento de red es la zona global. (Para obtener más informacpàgina 34). A efectos prácticos, se considera que una zona sin interfaces asociadas y sin entradas de libreta de direc

2. Si actualiza una antigua versión de ScreenOS, todas las configuraciones de las zonas correspondientes permanece

3. No es posible eliminar las zonas de seguridad predefinidas. Por el contrario, sí se pueden eliminar las zonas definidauna zona de seguridad, se eliminan automáticamente todas las direcciones configuradas para esa zona.

Motor dedirectivas

DMZ

Untrus

Trust

Finance

Eng

Una red configurada con 5 zonas de seguridad—3 zonas predeterminadas (Trust, Untrust, DMZ), y 2 zonas definidas por el usuario (Finance, Eng)

El tráfico (indicado por las líneas negras) sólo puede pasar de una zona de seguridad a otra si hay una directiva que lo permite.

D

Capítulo 1 Arquitectura de ScreenOS Interfaces de zonas de seguridad

3

e cruzar para pasar de una

en un solo sentido o en utilizar para pasar de una as tienen una gran

y, en el caso de una interfaz ignar una dirección IP a la positivos que admitan capa 2). Para obtener más

NetScreen. Las positivo NetScreen-500, por uerto Ethernet en ese l primer bastidor

as tendrán el mismo nivel de

minado, consulte el manual


INTERFACES DE ZONAS DE SEGURIDADCada interfaz de una zona de seguridad es como una puerta que el tráfico TCP/IP debzona a otra.

Mediante las directivas que usted defina, podrá permitir que el tráfico entre zonas fluyaambos4. Al definir las rutas, estará especificando las interfaces que el tráfico tendrá quezona a otra. Como es posible asociar múltiples interfaces a una zona, las rutas diseñadimportancia a la hora de dirigir el tráfico a las interfaces deseadas.

Para permitir que el tráfico pase de una zona a otra, debe asociar una interfaz a la zona en modo de ruta o en modo NAT (consulte el Capítulo 4, “Modos de las interfaces”), asinterfaz. Dos tipos de interfaz comúnmente utilizados son las interfaces físicas y, en dissistemas virtuales, las subinterfaces (es decir, la realización de una interfaz física en lainformación, consulte el Capítulo 3, “Interfaces”.

Interfaces físicasUna interfaz física se refiere a los componentes físicamente presentes en el dispositivoconvenciones de nomenclatura de interfaces difieren de un dispositivo a otro. En el disejemplo, una interfaz física se identifica por la posición de un módulo de interfaz y un pmódulo. Por ejemplo, la interfaz ethernet1/2 designa el módulo de interfaz situado en e(ethernet1/2) y en el segundo puerto (ethernet1/2) .

4. Para intercambiar tráfico entre dos interfaces asociadas a una misma zona no se requiere ninguna directiva, ya que ambseguridad. ScreenOS necesita directivas para controlar el tráfico entre zonas, no dentro de ellas.

Nota: Para conocer la convención de nomenclatura de un dispositivo NetScreen deterde usuario de dicho dispositivo.

1/1 1/2 3/1 3/2

2/1 2/2 4/1 4/2

Asignaciones de las interfaces físicas

Capítulo 1 Arquitectura de ScreenOS Interfaces de zonas de seguridad

4

uede dividir lógicamente en omento de la interfaz física de

las de una interfaz física, de la tráfico desde o hacia una zona s, los administradores

Por ejemplo, la interfaz dulo de interfaz que se ero 3 (ethernet1/2.3 ) .

az física, la zona a la que se r la subinterfaz ethernet1/2.3 a ociar ethernet1/2.2 . Asimismo, faz no implica que su dirección

tos de trama Ethernet utilizados para


SubinterfacesEn los dispositivos que admiten redes LAN virtuales (VLAN), una interfaz física se pvarias subinterfaces virtuales, que ocupan el ancho de banda que precisan en cada mla que proceden. Una subinterfaz es un elemento abstracto con funciones idénticas aque se diferencia por el etiquetado VLAN5 802.1Q. El dispositivo NetScreen dirige elcon subinterfaz a través de su dirección IP y su etiqueta VLAN. Por razones prácticanormalmente utilizan el mismo número para la etiqueta VLAN y para la subinterfaz. ethernet1/2 con la etiqueta VLAN 3 se llamará ethernet1/2.3 . Así se identifica el móencuentra en el primer bastidor , el segundo puerto del módulo y la subinterfaz núm

Observe que aunque una subinterfaz comparte parte de su identidad con una interfasocia es independiente de la zona a la que se asocia la interfaz física. Puede asociauna zona distinta de la utilizada para la interfaz física ethernet1/2 o a la que desee asno hay restricciones en cuanto a la asignación de direcciones IP. El término subinterse encuentre en una subred dentro del espacio de direcciones de la interfaz física.

5. 802.1Q es una norma IEEE que define los mecanismos para implementar redes LAN virtuales enlazadas y los formaindicar la pertenencia a una VLAN mediante etiquetas VLAN.

Asignaciones de subinterfaces

1/1.11/1.2

1/2.11/2.2

2/1.12/1.2

2/2.12/2.2

4/1.14/1.2

4/2.14/2.2

3/1.13/1.23/1.3

3/2.13/2.23/2.3

1/1 1/2 3/1 3/2

2/1 2/2 4/1 4/2

Capítulo 1 Arquitectura de ScreenOS Enrutadores virtuales

5

s y de sus propias tablas de nrutadores virtuales to unicast y multicast emplo, untrust-vr se suele formación de enrutamiento actualiza por medio de xtracción no autorizada de

nvía automáticamente entre rmitan el tráfico. Si desea ntre los VR o configurar una ás información sobre el uso

rutamiento untrust-vr

l icono del castillo representa erfaz en una zona de ad.


ENRUTADORES VIRTUALESUn enrutador virtual (VR) funciona como un enrutador. Dispone de sus propias interfaceenrutamiento unicast y multicast. En ScreenOS, un dispositivo NetScreen admite dos epredefinidos. Esto permite al dispositivo NetScreen mantener dos tablas de enrutamienindependientes y ocultar la información de enrutamiento de un enrutador al otro. Por ejutilizar para la comunicación con interlocutores sin confianza, por lo que no contiene inpara las zonas protegidas. La información de enrutamiento de las zonas protegidas se trust-vr. Por lo tanto, no es posible capturar información interna de la red mediante la erutas de untrust-vr.

Cuando hay dos enrutadores virtuales en un dispositivo NetScreen, el tráfico no se reelas zonas que se encuentran en distintos VR, incluso aunque existan directivas que peintercambiar tráfico de datos entre enrutadores virtuales, tendrá que exportar las rutas eruta estática en un VR que defina el otro VR como siguiente salto ("next-hop"). Para mde enrutadores virtuales, consulte el Volumen 6 “Enrutamiento”.

Dominio de en

Reenvío de rutas

Finance

Trust

Eng

Untrust

DMZ

Dominio de enrutamiento trust-vr

Nota: Euna intsegurid

Capítulo 1 Arquitectura de ScreenOS Directivas

6

denegando, todo intento de

s en todos los sentidos6. La tipo de tráfico puede pasar de sible permitir que todo tipo de s sin ninguna restricción en el tipo de tráfico entre un host ado.

e de la zona Trust a la zona Untrust,

MTP desde hacia un e 05:00 a


DIRECTIVASLos dispositivos NetScreen aseguran la red inspeccionando, y luego permitiendo o conexión que necesite pasar de una zona de seguridad a otra.

De forma predeterminada, un dispositivo NetScreen denegará todo el tráfico de datocreación de directivas permite controlar el flujo de tráfico entre zonas definiendo quélos orígenes a los destinos especificados y cuándo. En el nivel más permisivo, es potráfico pase de cualquier origen en una zona a cualquier destino en el resto de zonatiempo. En el nivel más restrictivo, se puede crear una directiva que sólo permita undeterminado en una zona y otro en otra zona durante un periodo de tiempo program

6. Ciertos dispositivos NetScreen se suministran con una directiva predeterminada que permite cualquier tráfico salientpero rechaza todo el tráfico procedente de la zona Untrust y dirigido a la zona Trust.

Acceso a Internet permisivo: cualquier servicio desde cualquier punto de la zona Trust hacia cualquier punto de la zona Untrust en cualquier momento

Acceso a Internet restrictivo: servicio Sun servidor de correo en la zona Trustservidor de correo en la zona Untrust d19:00 horas

Zona Trust

Zona Untrust

Zona Trust

Zona Untrust


7

nlazadas a la misma zona, el ita ese tipo de tráfico (consulte r de una zona de seguridad a ita que la zona A envíe tráfico

otra directiva que permita el a otra, debe haber una queo del interior de una zona), ntro de esa misma zona.

irectivas”.

Dominio de enrutamiento untrust-vr


Cada vez que un paquete intenta pasar de una zona a otra, o entre dos interfaces edispositivo NetScreen comprueba si en su lista de directivas existe alguna que perm“Listas de conjuntos de directivas” en la pàgina 311). Para que el tráfico pueda pasaotra (p. ej., de la zona A a la zona B), es necesario configurar una directiva que perma la zona B. Para que el tráfico pueda pasar en sentido inverso, se debe configurar tráfico de la zona B a la zona A. Para que cualquier tipo de tráfico pase de una zonadirectiva que lo permita. Asimismo, cuando está habilitado el bloqueo intrazonal (blodeberá existir una directiva que permita que el tráfico pase de una interfaz a otra de

Nota: Para obtener más información sobre las directivas, consulte el Capítulo 6, “D

Motor dedirectivas

Finance

Trust

Eng

Untrust

DMZNota: Las líneas negras representan el

tráfico entre zonas de seguridad.

Reenvío de rutas



8

a que configurar directivas e control multicast entre zonas. s multicast, tales como el

directivas multicast solamente o unicast como multicast) entre bre directivas multicast,


Si configura el enrutamiento multicast en un dispositivo NetScreen, puede que tengmulticast. De forma predeterminada, los dispositivos NetScreen no permiten tráfico dPor tráfico de control multicast se entienden los mensajes transmitidos por protocolomulticast independiente del protocolo (“Protocol Independent Multicast” o PIM). Lascontrolan el flujo del tráfico de control multicast. Para permitir el tráfico de datos (tantzonas, debe configurar directivas de cortafuegos. (Para obtener más información soconsulte “Directivas multicast” en la pàgina 6 -208).

Capítulo 1 Arquitectura de ScreenOS VPNs

9

ales (VPN). Los dos tipos más

áfico encapsulará el dispositivo pecificado en la ruta. Si la sociada a un túnel VPN, el gestiona por separado la

os, estos túneles estarán na de seguridad y otra.

ina qué tráfico encapsulará el eterminado y se especifique

punto, ya que es posible N basada en directivas resulta

so telefónico probablemente no

figurar una VPN basada en

entidad final), especifique una a. (El interlocutor remoto nlace remota.)

ad7.

el tráfico hacia SF debe utilizar

cualquier zona puede acceder a una


VPNSScreenOS dispone de varias opciones para la configuración de redes privadas virtuimportantes son:

• VPN basada en rutas: mediante una consulta de rutas se determina qué trNetScreen. Las directivas permiten o deniegan el tráfico hacia el destino esdirectiva permite el tráfico y la ruta hace referencia a una interfaz de túnel adispositivo NetScreen también encapsulará dicho tráfico. Esta configuraciónaplicación de directivas y la aplicación de túneles VPN. Una vez configuraddisponibles como recursos para asegurar el tráfico que circula entre una zo

• VPN basada en directivas: mediante una consulta de directivas se determdispositivo NetScreen cuando la directiva haga referencia a un túnel VPN d“tunnel” como acción.

Una VPN basada en rutas es la opción adecuada para configuraciones VPN punto aaplicar múltiples directivas al tráfico que pasa a través de un único túnel VPN. La VPadecuada para configuraciones VPN de acceso telefónico, ya que el cliente de accedispone de una dirección IP interna hacia la que establecer una ruta.

En las siguientes instrucciones se muestran los principales pasos a seguir para conrutas:

1. Cuando configure el túnel VPN (p. ej., vpn-to-SF , donde SF es el destino ointerfaz física o una subinterfaz en el dispositivo local como interfaz de saliddeberá utilizar la dirección IP de esta interfaz para configurar su puerta de e

2. Cree una interfaz de túnel (p. ej., tunnel.1 ) y asóciela a una zona de segurid

3. Asocie la interfaz de túnel tunnel.1 al túnel VPN vpn-to-SF .

4. Para dirigir el tráfico a través de este túnel, configure una ruta indicando quetunnel.1 .

7. No es necesario asociar la interfaz de túnel a la misma zona a la que está destinado el tráfico de VPN. El tráfico haciainterfaz de túnel siempre que haya alguna ruta que apunte a esa interfaz.

Capítulo 1 Arquitectura de ScreenOS VPNs

10

ar entradas en la libreta de ctivas para permitir o cia un destino especificado,

s”.

Zona de destino

Paquete entrando

Túnel VPNvpn-to-SF

AN0/24

de enlace terminada:.1.250


Llegados a este punto, el túnel está listo para el tráfico dirigido a SF . Ahora puede credirecciones, como “Trust LAN” (10.1.1.0/24) y “SF LAN” (10.2.2.0/24), y configurar direbloquear distintos tipos de tráfico desde un origen especificado, como “Trust LAN”, y hacomo “SF LAN”.

Nota: Para obtener información detallada sobre las VPN, consulte el Volumen 5, “VPN

Tabla de enrutamiento------------------------------------------------

Túnel VPNZona de origen Interfazde túnel

Paquete enviado

Motor dedirectivas

vpn-to-SFtunnel.1

Zona Trusteth3/2–10.1.1.1/24

Para llegar a Utilice10.1.1.0/24 eth3/2

0.0.0.0/0 untrust-vr

SF L10.2.2.

Para llegar a Utilice1.1.1.0/24 eth1/2

10.2.2.0/24 tunnel.10.0.0.0/0 1.1.1.250

Dispositivo

El dispositivo NetScreen local enruta el tráfico desde la zona Trust a “SF LAN”, que se encuentra en la zona Untrust, a través de la interfaz tunnel.1. Como la interfaz tunnel.1 está asociada al túnel VPN “vpn-to-SF”, el dispositivo NetScreen encripta el tráfico y lo envía a través de ese túnel al interlocutor remoto.

Zona UntrustInterfaz de salidaeth1/2, 1.1.1.1/24

Interfaz: tunnel.1

Dominio de enrutamiento untrust-vr


Puertaprede

1.1

Capítulo 1 Arquitectura de ScreenOS Sistemas virtuales

11

tema virtual es una subdivisión Los sistemas virtuales se tScreen. La aplicación de cipales: zonas, interfaces y reenOS integra estos

as, interfaces y enrutadores tuales”.

Eng

vsys1

t-vsys2

vsys3

vsys1-vr

vsys2-vr

vsys3-vr


SISTEMAS VIRTUALESCiertos dispositivos NetScreen pueden trabajar con sistemas virtuales (vsys). Un sisdel sistema principal que para el usuario aparece como una entidad independiente. encuentran separados del sistema raíz y entre sí dentro de un mismo dispositivo NeScreenOS a los sistemas virtuales implica la coordinación de tres componentes prinenrutadores virtuales. La siguiente ilustración representa conceptualmente cómo Sccomponentes en los niveles raíz y de sistema virtual.

Nota: Para obtener más información sobre sistemas virtuales y la aplicación de zonvirtuales en el contexto de sistemas virtuales, consulte el Volumen 9, “Sistemas vir

vsys1

vsys2

vsys3

sistema raíz

DMZMail

Untrust

Finance

Trust

Trust-

Trus

Trust-

Interfaz física dedicada para

vsys3

Subinterfaz dedicada para

vsys2

Interfaz compartida por vsys1 y raíz

untrust-vr

trust-vr

Nota: El icono del castillo representa una interfaz en una zona de seguridad.

Capítulo 1 Arquitectura de ScreenOS Secuencia de flujo de paquetes

12

a a continuación.

y/o c )

tilizar

su as.

8

Crear sesión

Tabla de sesionesid 977 vsys id 0, flag 000040/00, pid -1, did 0, time 18013 (01) 10.10.10.1/1168 -> 211.68.1.2/80, 6, 002be0c0066b, subif 0, tun 0

…

9

Realizar operación


SECUENCIA DE FLUJO DE PAQUETESEn ScreenOS, la secuencia de flujo de un paquete entrante ocurre según se muestr

4

Si hay tráfico de red, zona de origen = zona de seguridad a la que está asociada la interfaz o subinterfaz.

Si hay tráfico VPN a la interfaz de túnel en una zona de túnel, zona de origen = zona portadora.

Zonade origen

Interfazde entrada

MIP/VIPIP de host

Consultade rutas

Tabla de reenvíos10.10.10.0/24 eth1/10.0.0.0/0 untrust-vr

…

Consulta dedirectivas

Lista de directivassrc dst service action

…

( ) NAT-Dst NAT-Sr(

Interfaz de destino– y –

zona de destino

Permit = reenviar paqueteDeny = descartar paqueteReject = descartar el paquete y enviar TCP RST al origen

Tunnel = utilizar el túnel especificado para la encriptación de VPN

1 5 6 7

Si zona de destino = zona de seguridad, uesa zona para la consulta de directivas.

Si zona de destino = zona del túnel, utilizarzona portadora para la consulta de directiv

Paquete entrante

Zonasde seguridad

Zonadel tunnel

3

Consulta desesiones

Si el paquete no coincide con una sesión existente, lleve a cabo los pasos 4 a 9.

Si lo hace, vaya directamente al paso 9.

Si hay tráfico VPN a la interfaz de túnel asociada al túnel VPN, zona de origen = zona de seguridad donde está configurado el túnel.

2

FiltroSCREEN


13

origen a la que está asociada.

guridad a la que la interfaz o

n túnel VPN, la zona de origen l.

una zona de túnel, la zona de respondiente a esa zona de

NetScreen activa el módulo uno de los tres resultados

á configurado para bloquear el e y genera una entrada en el

á configurado para registrar el el evento en la lista de uiente.

o, el dispositivo NetScreen

paquete coincide con una

reen ejecuta “First Packet

ecuta “Fast Processing”, procesar el paquete. El formación que generan ya se


1. El módulo de interfaz identifica la interfaz entrante y, por lo tanto, la zona de

La determinación de la zona de origen se basa en los criterios siguientes:

– Si el paquete no está encapsulado, la zona de origen es la zona de sesubinterfaz entrante está asociada.

– Si el paquete está encapsulado y la interfaz de túnel está asociada a ues la zona de seguridad en la que está configurada la interfaz de túne

– Si el paquete está encapsulado y la interfaz de túnel se encuentra en origen es la zona portadora (zona de seguridad que porta el túnel) cortúnel.

2. Si hay habilitadas opciones SCREEN para la zona de origen, el dispositivo SCREEN en este momento. La comprobación de SCREEN puede producir siguientes:

– Si un mecanismo SCREEN detecta un comportamiento anómalo y estpaquete correspondiente, el dispositivo NetScreen descarta el paquetregistro de eventos.

– Si un mecanismo SCREEN detecta un comportamiento anómalo y estevento pero no bloquear el paquete, el dispositivo NetScreen registra contadores SCREEN para la interfaz de entrada y procede al paso sig

– Si el mecanismo SCREEN no detecta ningún comportamiento anómalprocede al paso siguiente.

3. El módulo de sesiones realiza una consulta de sesión para comprobar si el sesión existente.

Si el paquete no coincide con ninguna sesión existente, el dispositivo NetScProcessing”, un procedimiento que implica los siguientes pasos 4 a 9.

Si el paquete coincide con una sesión existente, el dispositivo NetScreen ejutilizando la información disponible en la entrada de sesiones existente paraprocesamiento rápido (“Fast Processing”) omite los pasos 4 a 8 porque la inobtuvo durante el procesamiento del primer paquete de la sesión.


14

ódulo de asignación de miento pueda buscar la

a la dirección de destino. Al ciada esa interfaz.

ra la consulta de directivas. correspondiente para la

al está inhabilitado para esa (paso 8). Si el bloqueo

ctiva entre las direcciones de

egos de NetScreen con el

ete a su destino.uete.

quete y, si el protocolo es TCP, .ete al módulo VPN, que s del túnel VPN.tino (NAT-dst), el módulo NAT a dirección.

interfaz o NAT-src basada en el paquete IP antes de

el dispositivo NetScreen realiza


4. Si se utiliza una dirección IP asignada (MIP) o dirección IP virtual (VIP), el mdirecciones resuelve la dirección MIP o VIP de modo que la tabla de enrutadirección real del host.

5. La operación de consulta de la tabla de rutas averigua qué interfaz conducehacerlo, el módulo de interfaz identifica la zona de destino a la que está aso

La determinación de la zona de destino se basa en los criterios siguientes:

– Si la zona de destino es una zona de seguridad, esa zona se utiliza pa– Si la zona de destino es una zona de túnel, se utiliza la zona portadora

consulta de directivas.– Si la zona de destino es igual a la zona de origen y el bloqueo intrazon

zona, el dispositivo NetScreen omite los pasos 6 y 7 y crea una sesiónintrazonal está activado, el dispositivo NetScreen descarta el paquete.

6. El motor de directivas busca en las listas de conjuntos de directivas una direlas zonas de origen y de destino identificadas.

La acción configurada en la directiva determina lo que debe hacer el cortafupaquete:

– Si la acción es permit , el dispositivo NetScreen decide remitir el paqu– Si la acción es deny , el dispositivo NetScreen decide descartar el paq– Si la acción es reject , el dispositivo NetScreen decide descartar el pa

enviar una señal de restablecimiento (RST) a la dirección IP de origen– Si la acción es tunnel , el dispositivo NetScreen decide remitir el paqu

encapsula el paquete y lo transmite utilizando los ajustes especificado7. Si en la directiva está especificado que se traduzcan las direcciones de des

traduce la dirección de destino original del encabezado del paquete IP a otr

Si está especificada la traducción de direcciones de origen (NAT basada endirectivas), el módulo NAT traduce la dirección de origen del encabezado dreenviarlo a su destino o al módulo VPN.

(Si en la misma directiva están especificados tanto NAT-dst como NAT-src, primero NAT-dst y luego NAT-src).


15

contiene los resultados de los

NetScreen utiliza la

lección y encriptación del túnel


8. El módulo de sesiones crea una nueva entrada en la tabla de sesiones quepasos 1 a 7.Para procesar los paquetes subsiguientes de la misma sesión, el dispositivoinformación mantenida en la entrada de la sesión.

9. El dispositivo NetScreen realiza la operación especificada en la sesión.Algunas operaciones típicas son la traducción de direcciones de origen, la seVPN, la desencriptación y el reenvío de paquetes.


16

os de los conceptos expuestos ue las interfaces de cada zona pàgina 18. Aquí se configuran

ance, Eng y Mail. De forma miento trust-vr. Por lo tanto, no argo, además de configurar la nto untrust-vr. Asimismo debe st-vr a untrust-vr8.

Enrutamiento dinámico”.

Dominio de enrutamiento

untrust-vr


Ejemplo (1ª parte): Empresa con seis zonasÉsta es la primera de las cuatro partes de un ejemplo cuya finalidad es aclarar algunen las secciones anteriores. Si desea información sobre esta segunda parte, en la qestán ya establecidas, consulte “Ejemplo (2ª parte): Interfaces para seis zonas” en lalas seis zonas siguientes de una empresa:

Las zonas Trust, Untrust y DMZ están preconfiguradas. Usted definirá las zonas Finpredeterminada, las zonas definidas por el usuario se ubican en el dominio de enrutaes necesario especificar un enrutador virtual para las zonas Finance y Eng. Sin embzona Mail, también deberá especificar que se encuentre en el dominio de enrutamietransferir los enlaces de los enrutadores virtuales de las zonas DMZ y Untrust de tru

• Finance• Trust

• Eng• Mail

• Untrust• DMZ

8. Para obtener más información sobre enrutadores virtuales y sus dominios de enrutamiento, consulte el Volumen 6, “

Finance

Trust

Eng

Mail

Untrust

DMZ


trust-vr


17

:

:

:

plegable “Virtual Router Name”

egable “Virtual Router Name” y


WebUI

Network > Zones > New: Introduzca los siguientes datos y haga clic en OK

Zone Name: Finance

Virtual Router Name: trust-vr

Zone Type: Layer 3: (seleccione)


Zone Name: Eng




Zone Name: Mail

Virtual Router Name: untrust-vr


Network > Zones > Edit (para Untrust): Seleccione untrust-vr en la lista desy haga clic en OK .

Network > Zones > Edit (para DMZ): Seleccione untrust-vr en la lista desplhaga clic en OK .

CLI

set zone name financeset zone name engset zone name mailset zone mail vrouter untrust-vrset zone untrust vrouter untrust-vrset zone dmz vrouter untrust-vrsave


18

a parte, en la que se configuran na 16. Si desea ver la siguiente arte): Dos dominios de

ciar interfaces a las zonas y

Untrust.1.1.1/24eth1/2

1.3.3.1/24eth1/1

1.4.4.1/24Etiqueta VLAN 2

eth1/1.2


Ejemplo (2ª parte): Interfaces para seis zonasÉsta es la segunda parte de un ejemplo fragmentado. Si desea ver la primerlas zonas, consulte “Ejemplo (1ª parte): Empresa con seis zonas” en la pàgiparte, en la que se configuran enrutadores virtuales, consulte “Ejemplo (3ª penrutamiento” en la pàgina 22. Esta parte del ejemplo demuestra cómo asoconfigurarlas con una dirección IP y diversas opciones de administración.

Finance10.1.2.1/24

Etiqueta VLAN 1eth3/2.1

Trust10.1.1.1/24

eth3/2

Eng10.1.3.1/24

eth3/1

DMZ1.2.2.1/24

eth2/2

1

Mail


19

tos y haga clic en OK :

e)

, SSH (seleccione)

clic en OK :

e)


e)


WebUI

1. Interfaz ethernet3/2Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes da

Zone Name: Trust

Static IP: (seleccione esta opción si es posibl

IP Address/Netmask: 10.1.1.1/24

Manageable: (seleccione)

Management Services: WebUI, Telnet, SNMP

Other Services: Ping (seleccione)

2. Interfaz ethernet3/2.1Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga

Interface Name: ethernet3/2.1

Zone Name: Finance



VLAN Tag: 1



Zone Name: Eng





20


e)

clic en OK :

e)


e)




Zone Name: Mail



5. Interfaz ethernet1/1.2Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga

Interface Name: ethernet1/1.2

Zone Name: Mail



VLAN Tag: 2


Zone Name: Untrust



Manageable: (seleccione)

Management Services: SNMP (seleccione)


Zone Name: DMZ

Static IP: (seleccione)



21
CLI

1. Interfaz ethernet3/2set interface ethernet3/2 zone trustset interface ethernet3/2 ip 10.1.1.1/24set interface ethernet3/2 manage pingset interface ethernet3/2 manage webuiset interface ethernet3/2 manage telnetset interface ethernet3/2 manage snmpset interface ethernet3/2 manage ssh

2. Interfaz ethernet3/2.1set interface ethernet3/2.1 tag 1 zone financeset interface ethernet3/2.1 ip 10.1.2.1/24set interface ethernet3/2.1 manage ping

3. Interfaz ethernet3/1set interface ethernet3/1 zone engset interface ethernet3/1 ip 10.1.3.1/24set interface ethernet3/1 manage ping

4. Interfaz ethernet1/1set interface ethernet1/1 zone mailset interface ethernet1/1 ip 1.3.3.1/24

5. Interfaz ethernet1/1.2set interface ethernet1/1.2 tag 2 zone mailset interface ethernet1/1.2 ip 1.4.4.1/24

6. Interfaz ethernet1/2set interface ethernet1/2 zone untrustset interface ethernet1/2 ip 1.1.1.1/24set interface ethernet1/2 manage snmp

7. Interfaz ethernet2/2set interface ethernet2/2 zone dmzset interface ethernet2/2 ip 1.2.2.1/24save


22

n la que se definen las rfaces para seis zonas” en la nsulte “Ejemplo (4ª parte):

a puerta de enlace sitivo NetScreen al generar las

Untrust1.1.1.1/24

eth1/2, ruta

Z.1/24, ruta

1.1.1.254

AInternet


untrust-vr


Ejemplo (3ª parte): Dos dominios de enrutamientoÉsta es la tercera parte de un ejemplo fragmentado. Si desea ver la parte anterior, einterfaces para las diferentes zonas de seguridad, consulte “Ejemplo (2ª parte): Intepàgina 18. Si desea ver la parte siguiente, en la que se establecen las directivas, coDirectivas” en la pàgina 25. En este ejemplo solamente se configura una ruta para lpredeterminada a Internet. Las otras rutas son creadas automáticamente por el dispodirecciones IP de las interfaces.

Finance10.1.2.1/24

etiqueta VLAN 1eth3/2.1, NAT

Trust10.1.1.1/24eth3/2, NAT

Eng10.1.3.1/24eth3/1, NAT

DM1.2.2

eth2/2

1.3.3.1/24eth1/1, ruta

1.4.4.1/24Etiqueta VLAN 2

eth1/1.2, ruta

Reenvío de rutas


trust-vrMail


23

es datos y haga clic en OK :

untrust-vr

ntes datos y haga clic en OK :

gateway 1.1.1.254


WebUINetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient

Network Address/Netmask: 0.0.0.0/0

Next Hop Virtual Router Name: (seleccione);

Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguie


Gateway: (seleccione)

Interface: ethernet1/2

Gateway IP Address: 1.1.1.254

CLIset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 save


24

ro):

Nota: Éstas son las únicas entradas configuradas por el usuario.


El dispositivo NetScreen crea automáticamente las rutas siguientes (en neg

trust-vrPara llegar a: Utilizar interfaz: Utilizar puerta de

enlace/Vrouter:0.0.0.0/0 n/a untrust-vr

10.1.3.0/24 eth3/1 0.0.0.0

10.1.1.0/24 eth3/2 0.0.0.0

10.1.2.0/24 eth3/2.1 0.0.0.0

untrust-vrPara llegar a: Utilizar interfaz: Utilizar puerta de

enlace/Vrouter:1.2.2.0/24 eth2/2 0.0.0.0

1.1.1.0/24 eth1/2 0.0.0.0

1.4.4.0/24 eth1/1.2 0.0.0.0

1.3.3.0/24 eth1/1 0.0.0.0

0.0.0.0/0 eth1/2 1.1.1.254


25

ª parte): Dos dominios de ar nuevas directivas.

es necesario crear nuevos

dirección Any para todos los

Untrust


Ejemplo (4ª parte): DirectivasÉsta es la última parte de un ejemplo fragmentado. La parte anterior es “Ejemplo (3enrutamiento” en la pàgina 22. En esta parte del ejemplo se muestra cómo configur

Para que este ejemplo funcione, antes de comenzar a configurar nuevas directivas grupos de servicios.

Nota: Cuando se crea una zona, el dispositivo NetScreen crea automáticamente lahosts existentes en esa zona. Este ejemplo utiliza la dirección Any para los hosts.

Finance

Trust

Eng DMZ

Mail

Motor dedirectivas

Reenvío de rutas


26

clic en OK :

ver el servicio de la columna embers”.

over el servicio de la columna embers”.

clic en OK :


mover el servicio de la “Group Members”.

haga clic en OK :


WebUI

1. Grupos de serviciosObjects > Services > Groups > New: Introduzca los siguientes datos y haga

Group Name: Mail-Pop3

Seleccione Mail y utilice el botón << para mo“Available Members” a la columna “Group M

Seleccione Pop3 y utilice el botón << para m“Available Members” a la columna “Group M

Objects > Services > Groups > New: Introduzca los siguientes datos y haga

Group Name: HTTP-FTPGet

Seleccione HTTP y utilice el botón << para m“Available Members” a la columna “Group M

Seleccione FTP-Get y utilice el botón << paracolumna “Available Members” a la columna

2. DirectivasPolicies > (From: Finance, To: Mail) New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), Any

Destination Address:


Service: Mail-Pop3

Action: Permit


27

ga clic en OK :

a clic en OK :

aga clic en OK :


Policies > (From: Trust, To: Mail) New: Introduzca los siguientes datos y ha

Source Address:




Service: Mail-Pop3

Action: Permit

Policies > (From: Eng, To: Mail) New: Introduzca los siguientes datos y hag

Source Address:




Service: Mail-Pop3

Action: Permit

Policies > (From: Untrust, To: Mail) New: Introduzca los siguientes datos y h

Source Address:




Service: Mail

Action: Permit


28

s y haga clic en OK :

haga clic en OK :

haga clic en OK :


Policies > (From: Finance, To: Untrust) New: Introduzca los siguientes dato

Source Address:




Service: HTTP-FTPGet

Action: Permit

Policies > (From: Finance, To: DMZ) New: Introduzca los siguientes datos y

Source Address:





Action: Permit

Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:





Action: Permit


29

ga clic en OK :

a clic en OK :

a clic en OK :


Policies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:





Action: Permit

Policies > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y hag

Source Address:





Action: Permit

Policies > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y hag

Source Address:




Service: FTP-Put

Action: Permit


30

haga clic en OK :

ermittmit

t

t


Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:





Action: Permit

CLI

1. Grupos de serviciosset group service mail-pop3 add mailset group service mail-pop3 add pop3set group service http-ftpget add httpset group service http-ftpget add ftp-get

2. Directivasset policy from finance to mail any any mail-pop3 permitset policy from trust to mail any any mail-pop3 permitset policy from eng to mail any any mail-pop3 permitset policy from untrust to mail any any mail permitset policy from finance to untrust any any http-ftpget pset policy from finance to dmz any any http-ftpget permiset policy from trust to untrust any any http-ftpget perset policy from trust to dmz any any http-ftpget permitset policy from eng to untrust any any http-ftpget permiset policy from eng to dmz any any http-ftpget permitset policy from eng to dmz any any ftp-put permitset policy from untrust to dmz any any http-ftpget permisave

2

31

Capítulo 2

seguridad (zona de seguridad), una entidad física o lógica que e los tipos de zonas, poniendo ntes:

9


Zonas

Una zona puede ser un segmento del espacio de red al que se aplican medidas de un segmento lógico que tiene asociada una interfaz de túnel VPN (zona de túnel), orealiza una función específica (zona de función). Este capítulo examina cada uno dun especial énfasis en la zona de seguridad, y se compone de las secciones siguie

• “Zonas de seguridad” en la pàgina 34

– “Zona Global” en la pàgina 34

– “Opciones SCREEN” en la pàgina 34

• “Zonas de túnel” en la pàgina 35

• “Configuración de zonas de seguridad y zonas de túnel” en la pàgina 37

– “Creación de una zona” en la pàgina 37

– “Modificación de una zona” en la pàgina 38

– “Eliminación de una zona” en la pàgina 39

• “Zonas de función” en la pàgina 40

– “Zona Null” en la pàgina 40

– “Zona MGT” en la pàgina 40

– “Zona HA” en la pàgina 40

– “Zona Self” en la pàgina 40

– “Zona VLAN” en la pàgina 40

• “Modos de puerto” en la pàgina 41

– “Establecimiento de los modos de puertos” en la pàgina 47

– “Zonas en los modos “Home-Work” y “Combined Port”” en la pàgina 4

Capítulo 2 Zonas

32

as preconfiguradas. En WebUI, ice el comando get zone.


La primera vez que se inicia un dispositivo NetScreen puede verse una serie de zonhaga clic en Network > Zones en la columna de menús de la izquierda. En CLI, util

Capítulo 2 Zonas

33

ntes:

DMZ

Estas zonas proporcionan compatibilidad con versiones anteriores al actualizar de una versión anterior a ScreenOS 3.1.0. Las 3 superiores para dispositivos en modo NAT o Route, los 3 inferiores para dispositivos en modo transparente.

os sistemas raíz y virtual omparten estas zonas.

stas zonas ni tienen ni ueden tener una interfaz.

VPN están ora es la zona tentes se


Resultado del comando get zone :

Las zonas preconfiguradas mostradas arriba se pueden agrupar en tres tipos difere

Zonas de seguridad: Untrust, Trust, DMZ, Global, V1-Untrust, V1-Trust, V1-

Zona de túnel: Untrust-Tun

Zonas de función: Null, Self, MGT, HA, VLAN

Lc

Ep

De forma predeterminada, las interfaces de túnel asociadas a la zona Untrust-Tun, cuya zona portadUntrust. (Durante la actualización, los túneles exisasocian a la zona Untrust-Tun).

Los números de identificación de zona 7 a 9 y 15 están reservados para uso futuro.

ns500-> get zoneTotal of 13 zones in vsys root------------------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS0 Null Null Shared untrust-vr null Root1 Untrust Sec(L3) Shared trust-vr ethernet1/2 Root2 Trust Sec(L3) trust-vr ethernet3/2 Root3 DMZ Sec(L3) trust-vr ethernet2/2 Root4 Self Func trust-vr self Root5 MGT Func trust-vr mgt Root6 HA Func trust-vr ha1 Root10 Global Sec(L3) trust-vr null Root11 V1-Untrust Sec(L2) trust-vr v1-untrust Root12 V1-Trust Sec(L2) trust-vr v1-trust Root13 V1-DMZ Sec(L2) trust-vr v1-dmz Root14 VLAN Func trust-vr vlan1 Root16 Untrust-Tun Tun trust-vr null Root------------------------------------------------------------------------

Capítulo 2 Zonas Zonas de seguridad

34

ividiendo la red en segmentos sidades de cada segmento.

un área de la red de la otra. En o que refina aún más la últiples dispositivos de

e puede hacer referencia a ella ento del que sí disponen las namiento de direcciones IP zona Global puede aplicarse a a zona Global. Dado que el quiere una interfaz para que el

es. Para obtener más a 310).

denegando, todo intento de guridad y zona MGT, puede diversos tipos de tráfico que el ormación sobre el gran número n de ataques y defensa”.

itir NAT ni asignación de tráfico.


ZONAS DE SEGURIDADEn un solo dispositivo NetScreen se pueden configurar varias zonas de seguridad, da los que se pueden aplicar diversas opciones de seguridad para satisfacer las neceDeben definirse como mínimo dos zonas de seguridad, básicamente para proteger algunas plataformas de NetScreen se pueden definir muchas zonas de seguridad, lgranularidad del diseño de seguridad de la red, evitando la necesidad de distribuir mseguridad para conseguir el mismo fin.

Zona GlobalPuede identificar una zona de seguridad porque tiene una libreta de direcciones y sen directivas. La zona Global satisface estos criterios. Sin embargo, le falta un elemdemás zonas de seguridad: una interfaz. La zona Global sirve como área de almaceasignadas (MIP) y direcciones IP virtuales (VIP). La dirección predefinida “Any” de latodas las MIPs, VIPs y a otras direcciones definidas por el usuario establecidas en ltráfico dirigido a estas direcciones se asigna a otras direcciones, la zona Global no retráfico fluya a través de ella.

La zona Global también contiene direcciones para su utilización en directivas globalinformación acerca de directivas globales, consulte “Directivas globales” en la pàgin

Opciones SCREENUn cortafuegos NetScreen asegura una red inspeccionando, y luego permitiendo o conexión que necesite pasar de una zona de seguridad a otra. Por cada zona de sehabilitar un conjunto de opciones SCREEN predefinidas que detecten y bloqueen losdispositivo NetScreen identifica como potencialmente dañinos. Para obtener más infde opciones SCREEN disponible, consulte el Volumen 4, “Mecanismos de detecció

Nota: Cualquier directiva que utilice la zona Global como su destino no puede adm

Capítulo 2 Zonas Zonas de túnel

35

Las zonas de túnel están s zonas de seguridad que

cionan protección de encapsulado de paquetes, y rfaces de túnel con ) y dinámicas (DIP).

ra dirigir el tráfico al punto trust. Puede crear otras e túnel por zona portadora y

nto trust-vr, pero también

es se asocian de forma ona de seguridad seguridad; sin embargo, no

pia zona Untrust-Tun separada.

la

s de la interfaz de la zona de seguridad.nel, y sale a través de la interfaz de túnel.

rfaz de la zona de seguridad que ne la zona de túnel proporciona la ción de cortafuegos para el tráfico sulado.

Túnel VPN


ZONAS DE TÚNELUna zona de túnel es un segmento lógico que contiene al menos una interfaz de túnel.conceptualmente relacionadas con zonas de seguridad en una relación “padre-hijo”. Laactúan como “padre”, que también pueden imaginarse como zonas portadoras, proporcortafuegos al tráfico encapsulado. La zona de túnel proporciona el encapsulado y destambién puede proporcionar servicios NAT basados en directivas, ya que admiten intedirecciones IP y máscaras de red que pueden contener direcciones IP asignadas (MIP

El dispositivo NetScreen utiliza la información de enrutamiento de la zona portadora pafinal del túnel. La zona de túnel predeterminada es Untrust-Tun, asociada a la zona Unzonas de túnel y asociarlas a otras zonas de seguridad, con un máximo de una zona dpor sistema virtual1.

De forma predeterminada, una zona de túnel se encuentra en el dominio de enrutamiepuede mover una zona de túnel a otro dominio de enrutamiento.

Al actualizar una versión de ScreenOS anterior a 3.1.0, las interfaces de túnel existentpredeterminada a la zona de túnel preconfigurada Untrust-Tun, que es un “hijo” de la zpreconfigurada de Untrust. Puede asociar múltiples zonas de túnel a la misma zona depuede enlazar una zona de túnel a otra zona de túnel.

1. El sistema raíz y todos los sistemas virtuales pueden compartir la zona Untrust. Sin embargo, cada sistema tiene su pro

Zona de túnel

Zona de seguridad

Interfaz de túnel Interfaz de

zona de seguridad

El tráfico saliente penetra en la zona de túnel a través de la interfaz de túnel, es encapsulado y sale a travéEl tráfico entrante accede a través de la interfaz de la zona de seguridad, es desencapsulado en la zona de tú

La intecontieprotecencap

Tráfico hacia o desde un túnel VPN

La interfaz de túnel, que cuando está asociada a una zona de túnel debe tener una dirección IP y una máscara de red, admite NAT basada en directivas para el tráfico VPN pre-encapsulado y post-desencapsulado.

Capítulo 2 Zonas Zonas de túnel

36

na Untrust-Tun y le asignará la unnel.3, traduciendo 3.3.3.5 a que es la zona portadora de la

ga clic en OK :

ientes datos y haga clic en OK :


Ejemplo: Asociar una interfaz de túnel a una zona de túnelEn este ejemplo creará una interfaz de túnel y la llamará tunnel.3. La asociará a la zodirección IP 3.3.3.3/24. Seguidamente definirá una dirección IP asignada (MIP) en t10.1.1.5, que es la dirección de un servidor en la zona Trust. Tanto la zona Untrust,zona Untrust-Tun, como la zona Trust están en el dominio de enrutamiento trust-vr.

WebUI

1. Interfaz de túnelNetwork > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha

Tunnel Interface Name: tunnel.3

Zone (VR): Untrust-Tun (trust-vr)

Fixed IP: (seleccione)


2. MIPNetwork > Interfaces > Edit (para tunnel.3) > MIP > New: Introduzca los sigu

Mapped IP: 3.3.3.5

Netmask: 255.255.255.255

Host IP Address: 10.1.1.5

Host Virtual Router Name: trust-vr

CLI

1. Interfaz de túnelset interface tunnel.3 zone Untrust-Tunset interface tunnel.3 ip 3.3.3.3/24

2. MIPset interface tunnel.3 mip 3.3.3.5 host 10.1.1.5save

Capítulo 2 Zonas Configuración de zonas de seguridad y zonas de túnel

37

pa 3 o capa 2 son

de túnel, utilice WebUI o CLI:

irtual en cuyo dominio de

zona a la que podrá asociar ne Layer 2 para crear una do transparente. Seleccione túnel y la asocie a una zona dora específica en la lista

para bloquear el tráfico entre a predeterminada, los

efinida, aunque sí se pueden

t”.


CONFIGURACIÓN DE ZONAS DE SEGURIDAD Y ZONAS DE TÚNELLa creación, modificación y eliminación de zonas de seguridad y zonas de túnel de caprocedimientos bastante similares.

Creación de una zonaPara crear zonas de seguridad de capa 3 (“Layer 3”) o capa 2 (“Layer 2”), o una zona

WebUINetwork > Zones > New: Introduzca los siguientes datos y haga clic en OK :

Zone Name: Escriba un nombre para la zona2.

Virtual Router Name: Seleccione el enrutador venrutamiento desea ubicar la zona.

Zone Type: Seleccione Layer 3 para crear unainterfaces en el modo NAT o Route. Selecciozona a la que pueda asociar interfaces en mo Tunnel Out Zone cuando cree una zona de portadora, y luego seleccione una zona portadesplegable.

Block Intra-Zone Traffic: Seleccione esta opciónhosts de la misma zona de seguridad. De formbloqueos intrazonales están inhabilitados.

Nota:No se pueden eliminar zonas de seguridad predefinidas ni la zona de túnel prededitar.

2. El nombre de una zona de seguridad de capa 2 (“Layer 2”) debe comenzar con “L2-”; por ejemplo, “L2-Corp” o “L2-XNe


38

zona portadora de una zona de cambiar la opción de

túnel cuyo nombre desea

ga clic en OK .

uientes datos y haga clic en

eccione el enrutador virtual a zona.

casilla de verificación. Para


CLI

set zone name zone [ l2 vlan_id_num3 | tunnel sec_zone ]set zone zone blockset zone zone vrouter name_str

Modificación de una zonaPara modificar el nombre de una zona de seguridad o zona de túnel, o para cambiar la de túnel, primero debe eliminar la zona4 y luego crearla de nuevo con los cambios. Puebloqueo intrazonal y el enrutador5 virtual en una zona existente.

WebUI

1. Modificación del nombre de una zonaNetwork > Zones: Haga clic en Remove (para la zona de seguridad o zona decambiar, o para la zona de túnel cuya zona portadora desea cambiar).

Cuando aparezca la confirmación para eliminar, haga clic en Yes .

Network > Zones > New: Introduzca los ajustes de zona con sus cambios y ha

2. Cambio de la opción de bloqueo intrazonal o el enrutador virtualNetwork > Zones > Edit (para las zonas que desea modificar): Introduzca los sig OK :

Virtual Router Name: En la lista desplegable, selcuyo dominio de enrutamiento desea mover la

Block Intra-Zone Traffic: Para habilitar, active la desactivar la opción, desactive la casilla.

3. Al crear una zona de seguridad de capa 2 (“Layer 2”), el número de identificación VLAN-ID debe ser 1 (para VLAN1).

4. Antes de poder eliminar una zona, primero debe desasociar todas las interfaces asociadas a ella.

5. Antes de cambiar el enrutador virtual de una zona, debe eliminar cualquier interfaz asociada a la misma.


39

ientes procedimientos6:

na interfaz de una zona, consulte


CLI

1. Modificación del nombre de una zonaunset zone zoneset zone name zone [ l2 vlan_id_num | tunnel sec_zone ]

2. Cambio de la opción de bloqueo intrazonal o el enrutador virtual{ set | unset } zone zone blockset zone zone vrouter name_str

Eliminación de una zonaPara eliminar una zona de seguridad o zona de túnel, ejecute cualquiera de los sigu

WebUI

Network > Zones: Haga clic en Remove (para la zona que desee eliminar).

Cuando aparezca la confirmación para eliminar, haga clic en Yes .

CLI

unset zone zone

6. Antes de poder eliminar una zona, primero debe desasociar todas las interfaces asociadas a ella. Para desasociar u“Asociación de una interfaz a una zona de seguridad” en la pàgina 66.

Capítulo 2 Zonas Zonas de función

40

un solo propósito, según se

asociada a ninguna otra zona.

tablecer opciones de tipos de ataques. Para obtener os de detección de ataques y

configurar interfaces para la

do usted se conecta al

terminar el tráfico VPN cuando rtafuegos en esta zona para


ZONAS DE FUNCIÓNLas cinco zonas de función son Null, MGT, HA, Self y VLAN. Cada zona existe con explica más abajo.

Zona NullEsta zona sirve como almacenamiento temporal para cualquier interfaz que no esté

Zona MGTEsta zona contiene la interfaz de administración de fuera de banda, MGT. Puede escortafuegos en esta zona para proteger la interfaz de administración contra diversosmás información sobre opciones de cortafuegos, consulte el Volumen 4, “Mecanismdefensa”.

Zona HAEsta zona contiene las interfaces de alta disponibilidad, HA1 y HA2. Aunque puedezona HA, la zona propiamente dicha no es configurable.

Zona SelfEsta zona contiene la interfaz para las conexiones de administración remotas. Cuandispositivo NetScreen a través de HTTP, SCS o Telnet, se conecta a la zona Self.

Zona VLANEsta zona contiene la interfaz VLAN1, que se utiliza para administrar el dispositivo yel dispositivo está en modo transparente. También puede establecer opciones de coproteger la interfaz VLAN1 de diversos ataques.

Capítulo 2 Zonas Modos de puerto

41

o de puerto establece spositivo. En los dispositivos puertos:

roporciona las siguientes

la zona de seguridad Untrust

o interfaz de respaldo a la

a de seguridad Trust

en. Para hacer referencia a un puerto e puede configurar con WebUI o CLI.

stente en el dispositivo

ligeramente diferente en el

Zona Trust

Interfaz Trust


MODOS DE PUERTOPuede seleccionar un modo de puerto para algunos dispositivos NetScreen. El modautomáticamente diversas asociaciones de puertos, interfaces y de zona7 para el diNetScreen-5XT y NetScreen-5GT puede configurar uno de los siguientes modos de

• El modo “Trust-Untrust” es el modo de puerto predeterminado. Este modo pasociaciones de puerto, interfaz y zona:

– Asocia el puerto “Untrusted Ethernet” a la interfaz Untrust, asociada a

– Asocia el puerto “Modem” a la interfaz serie, que se puede asociar comzona de seguridad Untrust

– Asocia los puertos Ethernet 1 a 4 a la interfaz Trust, asociada a la zon

7. En el contexto de modos de puertos, puerto se refiere a una interfaz física en la parte posterior del dispositivo NetScrese utiliza su etiqueta: “Untrusted”, “1-4”, “Console” o “Modem”. El término interfaz se refiere a una interfaz lógica que sCada puerto se puede asociar a una sola interfaz, pero a una interfaz se le pueden asociar múltiples puertos.

Advertencia: Al cambiar el modo de puertos, se elimina cualquier configuración exiNetScreen y es necesario reiniciar el sistema.

Nota: El asistente de configuración inicial (“Initial Configuration Wizard”) esdispositivo NetScreen-5GT.

Zona Untrust

La interfaz Untrust es la principal para la zona Untrust. Puede asociar la interfaz serie (mostrada en gris) como interfaz de respaldo a la zona Untrust.

InterfazUntrust


42

las nuevas zonas de seguridad recursos en cada zona. En este es entre las zonas “Work” y rma predeterminada, no hay odo proporciona las siguientes

zona de seguridad Work

zona de seguridad Home



e-Work, consulte “Zonas en los

Zona Work

ethernet1


• El modo “Home-Work” asocia interfaces a la zona de seguridad Untrust y a “Home” y “Work”. Las zonas “Work” y “Home” permiten segregar usuarios y modo, las directivas predeterminadas permiten el flujo de tráfico y conexion“Home”, pero no permiten tráfico de la zona “Home” a la zona “Work”. De foninguna restricción para el tráfico de la zona Home a la zona Untrust. Este masociaciones de puerto, interfaz y zona:

– Asocia los puertos Ethernet 1 y 2 a la interfaz ethernet1, asociada a la


– Asocia el puerto Untrusted Ethernet a la interfaz ethernet3, asociada a


Para obtener más información sobre cómo configurar y utilizar el modo Hommodos “Home-Work” y “Combined Port”” en la pàgina 49.

Zona Untrust Zona Home

ethernet2

La interfaz ethernet3 es la interfaz principal para la zona Untrust. Puede asociar la interfaz serie (mostrada en gris) como interfaz de respaldo a la zona Untrust. ethernet3


43

o, a la zona de seguridad zona Untrust, mientras que la ste modo proporciona las


terfaz de respaldo a la zona de zona de seguridad Untrust)

a a la zona de seguridad Trust

l Untrust, consulte el

st.

a Trust

ethernet1


• El modo “Dual Untrust” asocia dos interfaces, una principal y una de respaldUntrust. La interfaz principal se utiliza para entregar tráfico hacia y desde lainterfaz de respaldo se utiliza solamente cuando falla la interfaz principal. Esiguientes asociaciones de puerto, interfaz y zona:


– Asocia el puerto 4 de Ethernet a la interfaz ethernet2, asociada como inseguridad Untrust (la interfaz ethernet3 es la interfaz principal para la

– Asocia los puertos 1, 2 y 3 de Ethernet a la interfaz ethernet1, asociad

Para obtener más información sobre cómo configurar y utilizar el modo DuaVolumen 10, “Alta disponibilidad”.

Nota: La interfaz serie no está disponible en el modo de puerto Dual Untru

Zona Untrust Zon

La interfaz ethernet3 es la interfaz principal para la zona Untrust. La interfaz ethernet2 (mostrada en gris) es una interfaz de respaldo para la zona Untrust. ethernet2ethernet3


44

a Internet como la segregación

a:

la zona Untrust.

interfaz de respaldo a la zona idad Untrust).

zona Home.

na Work.

uerto combinado, consulte el ombined Port”” en la pàgina 49.

ólo funciona en la plataforma puede configurar con el sólo se puede configurar

Zona Work

et2 ethernet1


• El modo “Combined Port” permite tanto interfaces principales y de respaldo de usuarios y recursos en las zonas Work y Home.

Este modo proporciona las siguientes asociaciones de puerto, interfaz y zon


– Asocia el puerto 4 de Ethernet a la interfaz ethernet3, asociada como Untrust (la interfaz ethernet4 es la interfaz principal a la zona de segur


– Asocia el puerto 1 de Ethernet a la interfaz ethernet1, asociada a la zo

Para obtener más información sobre cómo configurar y utilizar el modo de pVolumen 10, “Alta disponibilidad” y “Zonas en los modos “Home-Work” y “C

Nota: Para el dispositivo NetScreen-5XT, el modo de puerto “Combined” sNetScreen-5XT Elite (usuarios sin restricción). El modo “Combined” no se asistente de configuración inicial (“Initial Configuration Wizard”). Este modomediante WebUI o con los comandos de CLI.

Nota: La interfaz serie no está disponible en el modo “Combined Port”.


ethern

La interfaz ethernet4 es la interfaz principal para la zona Untrust.La interfaz ethernet3 (mostrada en gris) es la interfaz de respaldo a la zona Untrust. ethernet4 ethernet3


45

guridad Untrust, Trust y DMZ, o electrónico y otros servidores

a:

zona de seguridad Trust

zona de seguridad DMZ



forma NetScreen-5GT l asistente de configuración

ediante WebUI o con los

Zona Trust

ethernet1


• El modo Trust/Untrust/DMZ (extendido) asocia interfaces a las zonas de sepermitiendo segregar de la red interna los servidores internos de web, correde aplicaciones.






Nota: El modo de puerto Trust/Untrust/DMZ solamente funciona en la plataExtended. El modo combinado (“Combined”) no se puede configurar con einicial (“Initial Configuration Wizard”). Este modo sólo se puede configurar mcomandos de CLI.

Zona Untrust Zona DMZ

ethernet2

La interfaz ethernet3 es la interfaz principal para la zona Untrust. Puede asociar la interfaz serie como interfaz de respaldo a la zona Untrust.

ethernet3


46

ust, Trust y DMZ, permitiendo

a:

zona de seguridad Trust

de seguridad DMZ

de seguridad Untrust

zona de seguridad Untrust

orma NetScreen-5GT Extended

Untrust. Para nte, utilice el

Zona Trust

ethernet1


• El modo DMZ/Dual Untrust asocia interfaces a las zonas de seguridad Untrentregar tráfico simultáneamente desde la red interna.



– Asocia el puerto Ethernet 3 a la interfaz ethernet2, asociada a la zona

– Asocia el puerto Ethernet 4 a la interfaz ethernet3, asociada a la zona

– Asocia el puerto Ethernet Untrust a la interfaz ethernet4, asociada a la

Nota: El modo de puerto DMZ/Dual Untrust solamente funciona en la plataf(extendido).

Nota: La interfaz serie no está disponible en el modo de puerto DMZ/Dualhabilitar la conmutación por fallo, en lugar de entregar tráfico simultáneamecomando set failover enable .

Zona Untrust Zona DMZ

Las interfaces ethernet3 y ethernet4 están activas simultáneamente. En este diagrama, las dos interfaces están asociadas a la zona Untrust para permitir equilibrar las cargas.

ethernet2ethernet4 ethernet3


47

ionados por los modos de

st

onatrust

ust

ust

ust

trust

D

/Dual tonantrust

rust

rust

MZ

ntrust

/D


Establecimiento de los modos de puertosLa tabla siguiente resume el puerto, la interfaz y las asociaciones de zonas proporcpuertos de NetScreen ScreenOS:

Puerto*

* Según la etiqueta adherida a los chasis del dispositivo NetScreen.

Modo Trust-Untrust†

† Modo de puerto predeterminado

Modo Home-Work

Modo Dual Untru

Interfaz Zona Interfaz Zona Interfaz ZUntrusted Untrust Untrust ethernet3 Untrust ethernet3 Un

1 Trust Trust ethernet1 Work ethernet1 Tr

2 Trust Trust ethernet1 Work ethernet1 Tr

3 Trust Trust ethernet2 Home ethernet1 Tr

4 Trust Trust ethernet2 Home ethernet2 Un

Modem serie Null serie Null N/D N/

Puerto*

* Según la etiqueta adherida a los chasis del dispositivo NetScreen.

Modo combinado Modo Trust/Untrust/DMZ

Modo DMZUntrus

Interfaz Zona Interfaz Zona Interfaz ZUntrusted ethernet4 Untrust ethernet3 Untrust ethernet4 U

1 ethernet1 Work ethernet1 Trust ethernet1 T

2 ethernet2 Home ethernet1 Trust ethernet1 T

3 ethernet2 Home ethernet2 DMZ ethernet2 D

4 ethernet3 Untrust ethernet2 DMZ ethernet3 U

Modem N/D N/D serie Null N/D N


48

WebUI o CLI. Antes de

n el dispositivo NetScreen y es

el dispositivo NetScreen. Por rminado Trust-Untrust, ejecutar el dispositivo en el modo

ome-Work.

desplegable y haga clic en

ice, continue?

onfiguration and reboot box

spositivo NetScreen y requiere


El ajuste del modo de puerto del dispositivo NetScreen se puede modificar medianteestablecer el modo de puerto, observe lo siguiente:

• Al cambiar el modo de puerto, se elimina cualquier configuración existente enecesario reiniciar el sistema.

• Ejecutar el comando CLI unset all no afecta al ajuste del modo de puerto dejemplo, si desea cambiar el modo de puerto de Combined al modo predeteel comando unset all eliminará la configuración existente, pero no pondrá Trust-Untrust.

Ejemplo: Modo de puerto Home-WorkEn este ejemplo establecerá el modo de puerto del dispositivo NetScreen-5XT en H

WebUI

Configuration > Port Mode > Port Mode: Seleccione “Home-Work” en la lista Apply.

Cuando aparezca la pregunta siguiente, haga clic en OK :

Operational mode change will erase current configuration and reset the dev

CLI

exec port-mode home-work

Cuando aparezca la pregunta siguiente, teclee y (respuesta afirmativa) :

Change port mode from <trust-untrust> to <home-work> will erase system c

Are you sure y/[n] ?

Nota: Cambiar el modo de puerto elimina cualquier configuración existente en el direiniciar el sistema.


49

y las redes domésticas o por miembros de sus familias or el que se introducen orativos, como servidores y

a las zonas especiales Work y sticos, permitiendo al mismo st.

àgina 41.


Para ver el modo de puerto actual en el dispositivo NetScreen:

WebUI

Configuration > Port Mode

CLI

get system

Zonas en los modos “Home-Work” y “Combined Port”Pueden presentarse conflictos de seguridad cuando el teletrabajo de los empleadosempiecen a popularizarse. La red doméstica utilizada tanto por teletrabajadores compuede convertirse en un peligroso agujero de seguridad para una red corporativa, pamenazas (como los gusanos o “worms”) y se permite el acceso a los recursos corpredes, a terceros ajenos a la empresa.

Los modos de puertos8 Home-Work y Combined asocian las interfaces de ScreenOSHome. Esto permite la segregación de usuarios y recursos corporativos de los dométiempo que los usuarios de las zonas Home y Work puedan acceder a la zona Untru

8. Sólo se pueden establecer modos de puertos en ciertos dispositivos NetScreen. Consulte “Modos de puerto” en la p


50

, que se puede asociar como sobre cómo utilizar la interfaz 10, “Alta disponibilidad”.

et 4 a la zona no fiable para tiliza cuando se produce algún mo utilizar la interfaz ethernet3

“Alta disponibilidad”.

l protocolo de configuración recciones IP dinámicas a los CP, consulte “Servidor DHCP”

Work

Zona Work


El modo de puerto Home-Work también asocia el puerto Modem a una interfaz serieinterfaz de respaldo a la zona de seguridad Untrust. Para obtener más información serie como interfaz de respaldo a la zona de seguridad Untrust, consulte el Volumen

El modo de puertos combinados (“Combined Port”) también asocia el puerto Ethernsalvaguardar el puerto de seguridad Untrust. La interfaz de respaldo solamente se ufallo en la interfaz principal a la zona Untrust. Para obtener más información sobre cócomo interfaz de respaldo a la zona de seguridad Untrust, consulte el Volumen 10,

De forma predeterminada, el dispositivo NetScreen-5XT actúa como un servidor dedinámica de hosts (“Dynamic Host Configuration Protocol” o “DHCP”), asignando diclientes DHCP en la zona Work. (Para obtener más información sobre el servidor DHen la pàgina 390).

Zona Untrust Zona Home Zona

Home-Work


Combined


51

UI solamente desde la zona uede utilizar ningún servicio de ección IP predeterminada de la

ombined proporcionan el

no se puede eliminar)

a zona Home a la zona Untrust inadas que permiten todo el

y desde la zona Work a la zona ir tráfico desde la zona Home a

to Home-Work. A continuación a la zona Untrust y para

a la zona Untrust. En este e origen a cualquier dirección

en el dispositivo NetScreen y


Puede configurar el dispositivo NetScreen utilizando una conexión de Telnet o WebWork. El dispositivo NetScreen no se puede configurar desde la zona Home. No se padministración, incluyendo el comando “ping”, en la interfaz de la zona Home. La dirinterfaz de la zona Work (ethernet1) es 192.168.1.1/24.

Las directivas predeterminadas en los modos de puertos del Home-Work y modo Csiguiente control del tráfico entre zonas:

• Permitir todo el tráfico desde la zona Work a la zona Untrust.

• Permitir todo el tráfico desde la zona Home a la zona Untrust.

• Permitir todo el tráfico desde la zona Work a la zona Home.

• Bloquear todo el tráfico desde la zona Home a la zona Work (esta directiva

Puede crear nuevas directivas para el tráfico de la zona Work a la zona Untrust, de ly de la zona Work a la zona Home. También puede eliminar las directivas predetermtráfico desde la zona Work a la zona Untrust, desde la zona Home a la zona Untrust Home. Tenga en cuenta, sin embargo, que no puede crear una directiva para permitla zona Work.

Ejemplo: Zonas Home-WorkEn este ejemplo, primero pondrá un dispositivo NetScreen-5XT en el modo de puerconfigurará una directiva para permitir solamente el tráfico FTP desde la zona Homeeliminar la directiva predeterminada que permite todo el tráfico desde la zona Homeejemplo, la directiva predeterminada, que permite tráfico desde cualquier dirección dde destino para cualquier servicio, tiene la identificación 2.

Advertencia: Cambiar el modo de puerto elimina cualquier configuración existenterequiere reiniciar el sistema.


52

desplegable y haga clic en

e device, continue?

uiente:

y haga clic en OK .

move en la columna

ta afirmativa) : will erase system


WebUI

Configuration > Port Mode > Port Mode: Seleccione “Home-Work” en la lista Apply .

Cuando aparezca la pregunta siguiente, haga clic en OK :

Operational mode change will erase current configuration and reset th

En este momento, el sistema se reinicia. Tras iniciar una sesión, haga lo sig

Policies > (From: Home, To: Untrust) > New: Introduzca los siguientes datos

Source Address:




Service: FTP

Action: Permit

Directivas: En la lista de directivas “From Home to Untrust”, haga clic en Re“Configure” para la directiva con la identificación 2.

CLI

exec port-mode home-work

Cuando aparezca la pregunta siguiente, teclee y (respuesChange port mode from <trust-untrust> to <home-work>

configuration and reboot boxAre you sure y/[n] ?

set policy from home to untrust any any ftp permitunset policy 2save

3

53

Capítulo 3

lga tráfico de una zona de ridad, ésta debe tener asociada IP. A continuación se deberán s diferentes zonas. Se pueden a varias zonas.

àgina 67

a 70


Interfaces

Las interfaces y subinterfaces físicas actúan como puertas; permiten que entre y saseguridad. Para permitir que el tráfico de una red entre y salga de una zona de seguuna interfaz y, si se trata de una zona de capa 3, deberá asignársele una dirección configurar directivas para permitir que el tráfico pase de interfaz en interfaz entre laasignar varias interfaces a una zona, pero una misma interfaz no se puede asignar

Este capítulo contiene las siguientes secciones:

• “Tipos de interfaces” en la pàgina 55

– “Interfaces de zonas de seguridad” en la pàgina 55

– “Interfaces de zonas de función” en la pàgina 57

– “Interfaces de túnel” en la pàgina 58

• “Visualización de interfaces” en la pàgina 64

• “Configuración de interfaces de la zona de seguridad” en la pàgina 66

– “Asociación de una interfaz a una zona de seguridad” en la pàgina 66

– “Direccionamiento de una interfaz de la zona de seguridad L3” en la p

– “Desasociación de una interfaz de una zona de seguridad” en la pàgin

– “Modificación de interfaces” en la pàgina 71

– “Creación de subinterfaces” en la pàgina 73

– “Eliminación de subinterfaces” en la pàgina 74

• “Direcciones IP secundarias” en la pàgina 75

– “Propiedades de las direcciones IP secundarias” en la pàgina 75

• “Interfaces loopback” en la pàgina 77

Capítulo 3 Interfaces

54
• “Cambios de estado de la interfaz” en la pàgina 81

– “Supervisión de la conexión física” en la pàgina 83

– “Seguimiento de direcciones IP” en la pàgina 84

– “Supervisión de interfaces” en la pàgina 91

– “Supervisión de zonas de seguridad” en la pàgina 98

– “Interfaces inactivas y flujo de tráfico” en la pàgina 99

Capítulo 3 Interfaces Tipos de interfaces

55

s de túnel. Para obtener más alización de interfaces” en la

la que el tráfico de red pueda

mbre de la interfaz e la ranura (en algunos nsulte también “Interfaces de a de seguridad en la que rfaz, ningún tráfico podría

na, tres de las interfaces -Trust, V1-Untrust y V1-DMZ. btener más información sobre

l tráfico de una zona de tuales. Cada subinterfaz rocede, por lo que su nombre et2.1. (Consulte también


TIPOS DE INTERFACESEn esta sección se describen la zona de seguridad, la zona de función y las interfaceinformación sobre cómo visualizar una tabla de todas estas interfaces, consulte “Visupàgina 64.

Interfaces de zonas de seguridadLa finalidad de las interfaces y subinterfaces físicas es proporcionar una abertura porpasar de una zona a otra.

FísicasCada puerto de su dispositivo NetScreen representa una interfaz física, estando el nopredefinido. El nombre de una interfaz física se compone del tipo de medio, número ddispositivos NetScreen) y número de puerto, por ejemplo, ethernet3/2 o ethernet2 (cozonas de seguridad” en la pàgina 3). Puede asociar una interfaz física a cualquier zonactúe como entrada a través de la que el tráfico entre y salga de la zona. Sin una inteentrar ni salir de una zona.

En los dispositivos NetScreen que admiten cambios en las asociaciones interfaz-a-zofísicas Ethernet están pre-asociadas a zonas de seguridad específicas de capa 2: V1La interfaz que se asocia a cada zona depende de la plataforma en cuestión. (Para ozonas de seguridad, consulte “Zonas de seguridad” en la pàgina 2).

SubinterfazUna subinterfaz, como una interfaz física, actúa como puerta por la que entra y sale eseguridad. Una interfaz física se puede dividir lógicamente en varias subinterfaces virvirtual toma prestado el ancho de banda que necesita de la interfaz física de la que pes una extensión del nombre de la interfaz física, por ejemplo, ethernet3/2.1 o ethern“Interfaces de zonas de seguridad” en la pàgina 3).


56

a la misma zona que su de una interfaz a una zona àgina 9 -24).

Una interfaz agregada es la la carga de tráfico dirigida a ntar el ancho de banda interfaz agregada, los otros el disponible anteriormente.

ces se puede asociar a una stiona todo el tráfico dirigido nece en estado de espera rfaz redundante se desvía a es redundantes proporciona vel de dispositivo.

r dos dispositivos NetScreen alta disponibilidad (HA). ual MAC de un VSI. A que anteriormente había

cia de interfaces” en la

ncia de interfaces” en la


Una subinterfaz se puede asociar a cualquier zona. Una subinterfaz se puede asociar interfaz física, o bien a otra zona. (Para obtener más información, consulte “Asociaciónde seguridad” en la pàgina 66 y “Definición de subinterfaces y etiquetas VLAN” en la p

Interfaces agregadasLos dispositivos de la serie NetScreen-5000 pueden trabajar con interfaces agregadas.acumulación de dos o más interfaces físicas, entre las que se reparten equitativamentela dirección IP de la interfaz agregada. Utilizando interfaces agregadas se puede aumedisponible para una dirección IP determinada. Asimismo, si falla algún miembro de unamiembros pueden seguir procesando tráfico, aunque con menos ancho de banda que

Interfaces redundantesDos interfaces físicas se pueden asociar para crear una interfaz redundante, que entonzona de seguridad. Una de las dos interfaces físicas actúa como interfaz principal y gea la interfaz redundante. La otra interfaz física actúa como interfaz secundaria y permapor si la interfaz activa experimenta algún fallo. En ese caso, el tráfico dirigido a la intela interfaz secundaria, que se convierte en la nueva interfaz principal. El uso de interfacun primer frente de redundancia antes de que el fallo sea comunicado como error al ni

Interfaces de seguridad virtualesLas interfaces de seguridad virtuales (VSIs) son las interfaces virtuales compartidas poque forman un dispositivo de seguridad virtual (VSD) cuando funcionan en el modo de Tanto el tráfico de una red como el tráfico VPN utilizan la dirección IP y la dirección virtcontinuación, VSD asigna el tráfico a la interfaz, subinterfaz o interfaz redundante a la

Nota: Para obtener más información sobre interfaces agregadas, consulte “Redundanpàgina 10 -59.

Nota: Para obtener más información sobre interfaces redundantes, consulte “Redundapàgina 10 -59.


57

de alta disponibilidad (“HA”), es ar un servicio ininterrumpido

idad virtuales (VSDs). Cuando SI).

una finalidad especial.

na interfaz física separada (la de usuario de red habitual. nificativamente la seguridad y

HA. Con dispositivos vailability” o “HA”) se pueden

dundante, una unidad actúa de tráfico, mientras que la otra afuegos en caso de fallar la nfigurar ambos miembros del

denomina activa/activa. Ambas

clúster HA, consulte

dministración, consulte


asociado el VSI. Cuando dos dispositivos NetScreen están funcionando en el modo necesario asociar las interfaces de la zona de seguridad a las que desee proporcionpor si se produce alguna conmutación por error en uno o más dispositivos de segurse asocia una interfaz a un VSD, el resultado es una interfaz de seguridad virtual (V

Interfaces de zonas de funciónLas interfaces de las zonas de función, como la de administración y la de HA, tienen

Interfaz de administraciónEn algunos dispositivos NetScreen, el dispositivo se puede administrar a través de uinterfaz de administración o MGT) sacando el tráfico administrativo fuera del tráfico Separando el tráfico administrativo del tráfico de los usuarios de red se aumenta sigse asegura un ancho de banda de administración constante.

Interfaz de HALa interfaz de HA es un puerto físico utilizado exclusivamente para las funciones deNetScreen equipados con interfaces especializadas para alta disponibilidad (“High Aasociar dos dispositivos para formar un grupo redundante, o clúster. En un grupo recomo maestra, realizando las funciones de cortafuegos de la red, VPN y asignaciónunidad actúa como respaldo, esperando a asumir el control de las funciones de cortunidad principal. Se trata de una configuración activa/pasiva. También se pueden coclúster para actuar mutuamente como maestros y respaldos. Esta configuración se configuraciones se explican en detalle en el Volumen 10, “Alta disponibilidad”.

Nota: Para obtener más información sobre VSIs y cómo funcionan con VSDs en unVolumen 10, “Alta disponibilidad”.

Nota: Para obtener más información sobre cómo configurar el dispositivo para la a“Administración” en la pàgina 3 -1.


58

a interfaz de alta disponibilidad físico dedicado exclusivamente os físicos de Ethernet. Para o que para asociar una interfaz zona de seguridad” en la

el túnel VPN a través de una

ferencia a esa interfaz de túnel en una o más directivas. Este ién permite el enrutamiento n túnel VPN, se debe cción tunnel lleva implícito un N.

conjunto de direcciones IP tilizar NAT basada en directivas os extremos de un túnel VPN.

ispositivo NetScreen pueda r a una interfaz de túnel scara de red). Si la interfaz de el una dirección IP. El rigen cuando el dispositivo

l. La interfaz de túnel puede n de una interfaz en otra zona,

rfaces HA duales” en la


Interfaz de HA virtual

En dispositivos NetScreen carentes de una interfaz de HA especializada, unvirtual (HA) proporciona la misma funcionalidad. Al no haber ningún puerto al tráfico de HA, la interfaz de HA virtual se debe asociar a uno de los puertasociar una interfaz de red a la zona de HA se utiliza el mismo procedimientde red a una zona de seguridad (consulte “Asociación de una interfaz a unapàgina 66).

Interfaces de túnelUna interfaz de túnel actúa como entrada a un túnel VPN. El tráfico entra y sale porinterfaz de túnel.

Cuando se asocia una interfaz de túnel a un túnel VPN, se puede establecer una reen una ruta hacia un destino determinado y después hacer referencia a ese destinométodo permite un control muy detallado del flujo de tráfico a través del túnel. Tambdinámico para el tráfico VPN. Cuando no hay ninguna interfaz de túnel asociada a uespecificar el túnel mismo en la directiva y elegir tunnel como acción. Dado que la apermiso, no se puede rechazar específicamente el tráfico procedente de un túnel VP

Se puede aplicar NAT basada en directivas al tráfico entrante o saliente usando un dinámicas (DIP) en la misma subred que la interfaz de túnel. Un motivo típico para uen una interfaz de túnel es evitar conflictos de direcciones IP entre los sitios de amb

Un túnel VPN basado en rutas debe asociarse a una interfaz de túnel para que el denrutar el tráfico entrante y saliente. Un túnel VPN basado en rutas se puede asocianumerada (con dirección IP y máscara de red) o no numerada (sin dirección IP y mátúnel no está numerada, debe especificar una interfaz que preste a la interfaz de túndispositivo NetScreen solamente utiliza la dirección IP prestada como dirección de oNetScreen mismo genera tráfico (como el de los mensajes OSPF) a través del túnetomar prestada la dirección IP de otra interfaz en la misma zona de seguridad, o biesiempre que ambas zonas se encuentren en el mismo dominio de enrutamiento.

Nota: Para obtener más información sobre interfaces de HA, consulte “Intepàgina 10 -39.


59

todas las interfaces de túnel no tual, y tomando la dirección IP todas las interfaces de túnel no ue tomen su dirección IP de la un dominio de enrutamiento

ino a las que conducen los únel, y sus directivas controlan

Zona Untrust

.5

hernet31.1.1/24

Enrutador externo

1.1.1.250

Nota: El túnel VPN mismo no se muestra.


Se puede alcanzar un control muy fiable del enrutamiento del tráfico VPN asociandonumeradas a una zona, que se encuentra en su propio dominio de enrutamiento virde una interfaz loopback asociada a la misma zona. Por ejemplo, se pueden asociarnumeradas a una zona definida por el usuario llamada “VPN” y configurarlas para qinterfaz loopback.1, también asociada a la zona VPN. La zona VPN se encuentra endefinido por el usuario llamado “vpn-vr”. Usted pondrá todas las direcciones de desttúneles en la zona VPN. Sus rutas a estas direcciones apuntan a las interfaces de tel tráfico VPN entre otras zonas y la zona VPN.

Zona Trust

Zona VPNtunnel.1

no numerada dst-110.2.2

src-1 10.1.1.5

et1.

ethernet110.1.1.1/24 trust-vr

vpn-vr

set vrouter name vpn-vrset zone name vpn vrouter vpn-vrset interface loopback.1 zone vpnset interface loopback.1 ip 172.16.1.1/24set interface tunnel.1 zone vpnset interface tunnel.1 ip unnumbered loopback.1

Configure las direcciones para src-1 y dst-1.Configure un túnel VPN y asócielo a tunnel.1.

set vrouter trust-vr route 10.2.2.5/32 vrouter vpn-vrset vrouter trust-vr route 0.0.0.0/0 interface ethernet3

gateway 1.1.1.250set vrouter vpn-vr route 10.2.2.5 interface tunnel.1

set policy from trust to vpn scr-1 dst-1 any permit

loopback.1 172.16.1.1/24

El dispositivo NetScreen envía el tráfico destinado a 10.2.2.5/32 de trust-vr a vpn-vr. Si tunnel.1 se inhabilita por cualquier causa, el dispositivo NetScreen descarta el paquete. Dado que la ruta predeterminada (a 0.0.0.0/0) solamente se encuentra en trust-vr, el dispositivo NetScreen no intenta enviar el paquete en texto puro sin formato a través de ethernet3.


60

uro porque no hay posibilidad terfaz de túnel asociada), el rminada. (Para ver varias uridad en VPNs basadas en

tener una dirección IP. La NAT estén disponibles para los

cciones IP asignadas (MIP) definidas

a zona de túnel, la interfaz de túnel d. Esto permite definir conjuntos de un túnel VPN a una zona de túnel, el. En tales casos, debe crear una

na zona de seguridad, debe to permite crear una configuración

umerada. Si no está numerada, la e la interfaz predeterminada de la ólo una interfaz de túnel con una

r NAT basada en directivas.

entra en una zona de seguridad y o crear una interfaz de zona de dmite tráfico VPN a través de la .


Poner todas las interfaces de túnel en una zona de estas características es muy segde que, por un fallo de la VPN (que provocaría la desactivación de la ruta hacia la intráfico destinado al túnel sea desviado hacia una ruta sin túnel, como la ruta predetesugerencias sobre cómo evitar este problema, consulte “Consideraciones sobre segrutas” en la pàgina 5 -93).

También puede asociar una interfaz de túnel a una zona de túnel. En tal caso, debefinalidad de asociar una interfaz de túnel a una zona de túnel es que los servicios de túneles VPN basados en directivas1.

1. Los servicios de traducción de direcciones de red (NAT) incluyen conjuntos de direcciones IP dinámicas (DIP) y direen la misma subred que una interfaz.

Cuando una interfaz de túnel está asociada a undebe tener una dirección IP y una máscara de reDIP y direcciones MIP en esa interfaz. Si asociano puede asociarlo también a una interfaz de túnconfiguración de VPN basada en directivas.

Cuando una interfaz de túnel se encuentra en uasociarse un túnel VPN a la interfaz de túnel. Esde VPN basada en rutas.La interfaz de túnel puede estar numerada o no ninterfaz de túnel toma prestada la dirección IP dzona de seguridad en la que fue creada. Nota: Sdirección IP y una máscara de red puede admiti

Cuando una interfaz de túnel numerada se encues la única interfaz en esa zona, no es necesariseguridad. En este caso, la zona de seguridad ainterfaz de túnel, pero ningún otro tipo de tráfico

Zona de

seguridad

Zona de túnel

Interfaces de túnel

Interfaces de zonas de seguridad

Túnel VPN

Túnel VPN

Túnel VPN

Numerada o no numerada

Zona de

seguridad

Numerada

Numerada


61

rcan desde el dispositivo local s extremos de esas tuberías. envíe tráfico a una de sus

que ésta admita uno o más igen (NAT-src) y conjuntos de st). Para obtener más ecciones superpuestas” en la ra de red en una zona de

uración no requiere que la mo no numerada. Una interfaz r a una zona de túnel. También de enrutamiento virtual que la el no numerada toma prestada

a encapsulación de de túnel para encapsular los 1 para encapsular paquetes IP apsulado de enrutamiento

de VPN basada en rutas en na 5 -233.


Conceptualmente, los túneles VPN pueden imaginarse como tuberías tendidas. Abahasta las puertas de enlace remotas, siendo las interfaces de túnel los orificios en loLas tuberías siempre están disponibles, listas para cuando el motor de enrutamientointerfaces.

Generalmente, se asigna una dirección IP a una interfaz de túnel cuando se desea conjuntos de direcciones IP dinámicas (DIP) para la traducción de direcciones de ordirecciones IP asignadas (MIP) para la traducción de direcciones de destino (NAT-dinformación sobre VPNs y la traducción de direcciones, consulte “Sitios VPN con dirpàgina 5 -203). Puede crear una interfaz de túnel con una dirección IP y una máscaseguridad o en una zona de túnel.

Si la interfaz de túnel no necesita trabajar con traducción de direcciones y su configinterfaz de túnel esté asociada a una zona de túnel, puede especificar la interfaz code túnel no numerada debe asociarse a una zona de seguridad; no se puede asociadebe especificar una interfaz con una dirección IP que pertenezca al mismo dominiozona de seguridad a la que está asociada la interfaz no numerada. La interfaz de túnla dirección IP de esa interfaz.

Si está transmitiendo paquetes multicast a través de un túnel VPN, puede habilitar lenrutamiento genérica (“Generic Routing Encapsulation” o “GRE”) en las interfaces paquetes multicast en paquetes unicast. Los dispositivos NetScreen admiten GREven paquetes unicast IPv4. Para obtener más información sobre GRE, consulte “Encgenérico” en la pàgina 6 -205.

Nota: Para ver cómo asociar una interfaz de túnel a un túnel, consulte los ejemplos“VPNs punto a punto” en la pàgina 5 -103 y “VPNs de acceso telefónico” en la pàgi


62

s IP asignadas (MIPs) o l que contenga cualquiera de ncias a ellas. A continuación na configuración de VPN r la interfaz de túnel, debe

isten referencias al conjunto de inado a la zona Untrust a través inar la directiva (o eliminar las . Después debe desasociar onfiguraciones que dependan

on ID 10.

ra la DIP con ID 8.

la lista desplegable “Bind to:


Eliminar interfaces de túnelNo se puede eliminar inmediatamente una interfaz de túnel que contenga direccioneconjuntos de direcciones IP dinámicas (DIP). Antes de eliminar una interfaz de túneestas características, primero debe eliminar cualquier directiva que contenga referedebe eliminar las MIPs y los conjuntos de DIP en la interfaz de túnel. Asimismo, si ubasada en rutas contiene referencias a una interfaz de túnel, antes de poder eliminaeliminar la configuración de VPN.

Ejemplo: Eliminar una interfaz de túnelEn este ejemplo, la interfaz de túnel tunnel.2 está vinculada al conjunto de DIP 8. ExDIP 8 en una directiva (ID 10) para el tráfico VPN procedente de la zona Trust y destde un túnel VPN llamado vpn1. Para eliminar la interfaz de túnel, primero debe elimreferencias al conjunto de DIP 8 de la directiva) y a continuación el conjunto de DIPtunnel.2 de vpn1. Puede eliminar la interfaz de túnel después de eliminar todas las cde ella.

WebUI

1. Eliminar la directiva 10, con referencias al conjunto de DIP 8Policies (From: Trust, To: Untrust): Haga clic en Remove para la directiva c

2. Eliminar el conjunto de DIP 8, vinculado a tunnel.2Network > Interfaces > Edit (para tunnel.2) > DIP: Haga clic en Remove pa

3. Desasociar tunnel.2 de vpn1VPNs > AutoKey IKE > Edit (para vpn1) > Advanced: Seleccione None en Tunnel Interface”, haga clic en Return y después en OK .

4. Eliminar tunnel.2Network > Interfaces: Haga clic en Remove para tunnel.2.


63
CLI

1. Eliminar la directiva 10, con referencias al conjunto de DIP 8unset policy 10

2. Eliminar el conjunto de DIP 8, vinculado a tunnel.2unset interface tunnel.2 dip 8

3. Desasociar tunnel.2 de vpn1unset vpn vpn1 bind interface

4. Eliminar tunnel.2unset interface tunnel.2save

Capítulo 3 Interfaces Visualización de interfaces

64

itivo NetScreen. Al estar i no. Las subinterfaces e

. Puede especificar los tipos de

ara de red de la interfaz.

(“Layer 3”), túnel (“tunnel”),

”).


VISUALIZACIÓN DE INTERFACESPuede visualizar una tabla que muestre todas las interfaces existentes en su dispospredefinidas, las interfaces físicas aparecen en la lista tanto si se configuran como sinterfaces de túnel solamente aparecen después de crearlas y configurarlas.

Para visualizar la tabla de interfaces en WebUI, haga clic en Network > Interfaces interfaces a mostrar en la lista desplegable “List Interfaces”.

Para ver la tabla de interfaces en CLI, utilice el comando get interface .

Tabla de interfacesLa tabla de interfaces muestra la información siguiente sobre cada interfaz:

• Name: Este campo identifica el nombre de la interfaz.

• IP/Netmask: Este campo identifica la dirección IP y la dirección de la másc

• Zone: Este campo identifica las zonas a las que está asociada la interfaz.

• Type: Este campo indica si el tipo de interfaz es: capa 2 (“Layer 2”), capa 3redundante (“redundant”), agregada (“aggregate”), VSI.

• Link: Este campo identifica si la interfaz está activa (“Up”) o inactiva (“Down

• Configure: Este campo permite modificar o eliminar interfaces.

Capítulo 3 Interfaces Visualización de interfaces

65
Tabla de interfaces de WebUI

Tabla de interfaces de CLI

Capítulo 3 Interfaces Configuración de interfaces de la zona de seguridad

66

la zona de seguridad:

yer 3” o “L3”)

binterfaz sólo se puede asociar lamente se puede asignar una

3.

splegable “Zone Name” y haga

nda para el tráfico de una nformación sobre las opciones az, consulte “Control del tráfico


CONFIGURACIÓN DE INTERFACES DE LA ZONA DE SEGURIDADEsta sección describe cómo configurar los siguientes aspectos de las interfaces de

• Asociar y desasociar una interfaz a una zona de seguridad

• Asignar una dirección a una interfaz de la zona de seguridad de capa 3 (“La

• Modificar interfaces y subinterfaces físicas

• Crear subinterfaces

• Eliminar subinterfaces

Asociación de una interfaz a una zona de seguridadCualquier interfaz física se puede asociar a una zona de seguridad L2 o L3. Una sua una zona de seguridad L3, porque las subinterfaces requieren una dirección IP. Sodirección IP a una interfaz después de haberla asociado a una zona de seguridad L

Ejemplo: Asociar una interfazEn este ejemplo asociará ethernet5 a la zona Trust.

WebUINetwork > Interfaces > Edit (para ethernet5): Seleccione Trust en la lista declic en OK .

CLIset interface ethernet5 zone trustsave

Nota: Para obtener más información sobre cómo establecer el ancho de bainterfaz, consulte el Capítulo 7, “Asignación de tráfico”. Para obtener más ide administración y otras opciones de servicios disponibles para cada interfadministrativo” en la pàgina 3 -39.


67

d L33”), debe asignarle una

mbién se puede especificar el encuentra en untrust-vr, la

ciones de interfaces son:

ernet (ISPs) para su utilización

ación en una red privada y que en otras redes privadas

apítulo 4, “Modos de las

omprueba mediante una estar activo en ese momento).


Direccionamiento de una interfaz de la zona de seguridaAl definir una interfaz o subinterfaz de la zona de seguridad de capa 3 (“Layer 3” o “Ldirección IP y una máscara de red. Si se asocia la interfaz a una zona en trust-vr, tamodo de la interfaz como NAT o Route. (Si la zona a la que se asocia la interfaz se interfaz siempre estará en el modo de ruta).

Los dos tipos básicos de direcciones IP que pueden considerarse para asignar direc

• Direcciones públicas, proporcionadas por los proveedores de servicios de Inten una red pública como Internet y que deben ser únicas

• Direcciones privadas, que un administrador de red local asigna para su utilizpueden ser asignadas por otros administradores para su utilización también

Nota: Para ver ejemplos de configuración de los modos NAT y Route, consulte el Cinterfaces” en la pàgina 107.

Nota: Cuando se agrega una dirección IP a una interfaz, el dispositivo NetScreen cpetición de ARP si la dirección IP no existe ya en la red local. (El enlace físico debe Si la dirección IP ya existe, se genera un aviso.


68

simismo, si una zona de s en trust-vr están en modo de sts) también deben ser 2, según se muestra a

una dirección de clase A, los ificación del host tificación de la red y los 16 bits C, los primeros 24 bits indican n.nnn.hhh).

más aún. En esencia, una nmascarada en una subred de .4/24 indica que los primeros n privada de clase A, los 16 bits e subred de la dirección y los ilizando subredes para reducir enta significativamente la

excluidas55, .255

.255

55.255


Direcciones IP públicasSi una interfaz se conecta a una red pública, debe tener una dirección IP pública. Aseguridad L3 en untrust-vr se conecta a una red pública y las interfaces de las zonaruta, todas las direcciones de las zonas en trust-vr (para las interfaces y para los hodirecciones públicas. Los direcciones IP públicas se dividen en tres clases: A, B, y Ccontinuación:

Una dirección IP se compone de cuatro octetos, cada uno compuesto por 8 bits. Enprimeros 8 bits indican la identificación de la red y los 24 bits finales indican la ident(nnn.hhh.hhh.hhh). En una dirección de clase B, los primeros 16 bits indican la idenfinales indican la identificación del host (nnn.nnn.hhh.hhh). En una dirección de clasela identificación de la red y los 8 bits finales indican la identificación del host (nnn.nn

Aplicando máscaras de subred (o máscaras de red), las redes se pueden subdividirmáscara de red enmascara parte de la identificación del host, convirtiendo la parte ela identificación de la red. Por ejemplo, la máscara de 24 bits3 de la dirección 10.2.38 bits (es decir, el primer octeto, 010) identifican la porción de la red de esta direcciósiguientes (es decir, los octetos segundo y tercero, 002.003) identifican la porción dúltimos 8 bits (el último octeto, 004) identifican la porción de host de la dirección. Utlos espacios de direcciones de grandes redes en subdivisiones más pequeñas, aumeficacia en la entrega de datagramas IP.

2. También existen direcciones de las clases D y E, reservadas para fines especiales.

Clase de dirección Rango de direcciones Rango de direccionesA 0.0.0.0 – 127.255.255.255 10.0.0.0 – 10.255.255.2

127.0.0.0 – 127.255.255

B 128.0.0.0 – 191.255.255.255 172.16.0.0 – 172.31.255

C 192.0.0.0 – 223.255.255.255 192.168.0.0 – 192.168.2

3. El equivalente decimal con puntos de una máscara de 24 bits es 255.255.255.0.


69

asignarle cualquier dirección, reservado para uso privado —rma RFC 1918, “Address

s asociadas a las zonas en nterfaces y para hosts) pueden

ión IP de administración isma subred que la dirección T, que traduce todas las s de seguridad.


es la interfaz predeterminada de una ado del comando CLI get zone.


Direcciones IP privadasSi una interfaz se conecta a una red privada, un administrador de la red local puedeaunque según la convención se suele utilizar una dirección del rango de direcciones10.0.0.0/8, 172.16.0.0 – 172.31.255.255, 192.168.0.0/16— según se define en la noAllocation for Private Internets”.

Si la zona de seguridad L3 en untrust-vr se conecta a una red pública y las interfacetrust-vr están en el modo NAT, todas las direcciones de las zonas en trust-vr (para iser privadas.

Ejemplo: Direccionamiento de una interfazEn este ejemplo asignará a ethernet5 la dirección IP 210.1.1.1/24 y le dará la direcc210.1.1.5. (Recuerde que la dirección IP de administración debe encontrarse en la mIP de la interfaz de la zona de seguridad). Por último, pondrá la interfaz en modo NAdirecciones IP internas a las interfaces4 predeterminadas asociadas a las otras zona

WebUI

Network > Interfaces > Edit (para ethernet5): Introduzca los siguientes dato


Manage IP: 210.1.1.5

CLI

set interface ethernet5 ip 210.1.1.1/24set interface ethernet5 manage-ip 210.1.1.5save

4. La interfaz predeterminada en una zona de seguridad es la primera interfaz asociada a la zona. Para averiguar cuál zona, consulte la columna “Default IF” en la página Network > Zones de WebUI, o la columna “Default-If” en el result


70

dasociarla a otra. Si una interfaz 0. A continuación, puede arle una dirección IP y máscara

na Untrust. Establecerá su



Desasociación de una interfaz de una zona de seguridaSi una interfaz no está numerada, puede desasociarla de una zona de seguridad y está numerada, primero debe establecer su dirección IP y máscara de red en 0.0.0.desasociarla de una zona de seguridad y asociarla a otra, y (opcionalmente) reasignde red.

Ejemplo: Desasociar una interfazEn este ejemplo, ethernet3 tiene la dirección IP 210.1.1.1/24 y está asociada a la zodirección IP y máscara de red en 0.0.0.0/0 y la asociará a la zona Null.

WebUI


Zone Name: Null


CLI

set interface ethernet3 ip 0.0.0.0/0set interface ethernet3 zone nullsave


71

te, una interfaz agregada o una ajustes siguientes si surge la

ta VLAN

terfaz: NAT o Route

7, “Asignación de tráfico” en la

misión máxima (MTU)

luyendo el tráfico entre una mediante el comando CLI

o físico del vínculo como activo ede simular una desconexión interface con la opción


Modificación de interfacesUna vez haya configurado una interfaz física, una subinterfaz, una interfaz redundaninterfaz de seguridad virtual (VSI), puede cambiar posteriormente cualquiera de los necesidad:

• Dirección IP y máscara de red

• Administrar la dirección IP

• (Interfaces de la zona L3) Servicios de administración y de red

• (Subinterfaz) Número de identificación de la subinterfaz y número de etique

• (Interfaces asociadas a las zonas de seguridad L3 en trust-vr) Modo de la in

• (Interfaz física) Ajustes del ancho de banda del tráfico (consulte el Capítulo pàgina 359)

• (Interfaces físicas, redundantes y agregadas) Tamaño de la unidad de trans

• (Interfaces L3) Impedir que el tráfico entre y salga por la misma interfaz, incsubred principal y secundaria o entre subredes secundarias (esto se realizaset interface con la opción route-deny)

En las interfaces físicas de algunos dispositivos NetScreen se puede forzar el estad(“up”) o inactivo (“down”). Forzando el estado físico del vínculo como inactivo, se pudel cable del puerto de la interfaz. (Esto se consigue mediante el comando CLI set phy link-down).


72

zona Trust. Cambiará la guridad del tráfico bilitando SCS y SSL y

uientes y haga clic en OK :

L; (borre) Telnet, WebUI


Ejemplo: Modificar los ajustes de la interfazEn este ejemplo hará algunas modificaciones a ethernet1, una interfaz asociada a ladirección IP de administración de 10.1.1.2 a 10.1.1.12. Para aumentar el nivel de seadministrativo, también cambiará las opciones de los servicios de administración, hadesactivando Telnet y WebUI.

WebUI

Network > Interfaces > Edit (para ethernet1): Realice las modificaciones sig

Manage IP: 10.1.1.12

Management Services: (seleccione) SSH, SS

CLI

set interface ethernet1 manage-ip 10.1.1.12set interface ethernet1 manage sshset interface ethernet1 manage sslunset interface ethernet1 manage telnetunset interface ethernet1 manage websave


73

irtual. Una subinterfaz hace uso a otras interfaces. Observe que do el ancho de banda que misma a la que está asociada una subred diferente que las

urará la subinterfaz en finida por el usuario llamada az 3, dirección IP 10.2.1.1/24 e

clic en OK :

figuración de una subinterfaz en una


Creación de subinterfacesPuede crear una subinterfaz en cualquier interfaz física5 del sistema raíz o sistema vdel etiquetado de VLAN para distinguir el tráfico asociado a ella del tráfico asociado aunque una subinterfaz tiene su origen en una interfaz física, de la cual toma prestanecesita, una subinterfaz se puede asociar a cualquier zona, no necesariamente la su interfaz “padre”. Además, la dirección IP de una subinterfaz debe encontrarse endirecciones IP de todas las demás interfaces y subinterfaces físicas.

Ejemplo: Subinterfaz en el sistema raízEn este ejemplo creará una subinterfaz para la zona Trust en el sistema raíz. Configethernet1, que está asociada a la zona Trust. Asociará la subinterfaz a una zona de“accounting”, que se encuentra en trust-vr. Le asignará la identificación de subinterfidentificación 3 de etiqueta VLAN. El modo de la interfaz es NAT.

WebUI

Network > Interfaces > New Sub-IF: Introduzca los siguientes datos y haga

Interface Name: ethernet1 . 3

Zone Name: accounting


VLAN Tag: 3

CLI

set interface ethernet1.3 zone accountingset interface ethernet1.3 ip 10.2.1.1/24 tag 3save

5. También puede configurar subinterfaces en interfaces redundantes y VSIs. Para ver un ejemplo que contenga la coninterfaz redundante, consulte “Conmutación por error del sistema virtual” en la pàgina 10 -132.


74

asignadas (MIPs), direcciones una subinterfaz que contenga rtas de enlace IKE que conjuntos de DIP de la


Eliminación de subinterfacesNo se puede eliminar inmediatamente una subinterfaz que contenga direcciones IP IP virtuales (VIPs) o conjuntos de direcciones IP dinámicas (DIP). Antes de eliminarcualquiera de estas características, primero debe eliminar todas las directivas o puecontengan referencias a ellas. Seguidamente, deberá eliminar las MIPs, VIPs y los subinterfaz.

Ejemplo: Eliminar una interfaz de la zona de seguridadEn este ejemplo eliminará la subinterfaz ethernet1:1.

WebUI

Network > Interfaces: Haga clic en Remove para ethernet1:1.

Un mensaje del sistema le pedirá que confirme la eliminación.

Haga clic en Yes para eliminar la subinterfaz.

CLI

unset interface ethernet1:1save

Capítulo 3 Interfaces Direcciones IP secundarias

75

go, algunas situaciones exigen ener asignaciones de s. Además, una organización

ando hay más de 254 hosts s IP secundarias a una interfaz

den implementar. Estas

ientos en las direcciones de entre una IP secundaria y

secundaria, la dirección principal. Por lo tanto, no se

ección IP secundaria.

ecundaria.

creen creará automáticamente una dirección IP secundaria, el de enrutamiento.

ningún cambio en la tabla de e tipo, el dispositivo NetScreen ún cambio en la tabla de

la zona Untrust.


DIRECCIONES IP SECUNDARIASCada interfaz de NetScreen tiene una sola dirección IP única y principal . Sin embarque una interfaz tenga varias direcciones IP. Por ejemplo, una organización puede tdirecciones IP adicionales y puede no desear agregar un enrutador para gestionarlapuede tener más dispositivos de red de los que su subred puede manejar, como cuconectados a una LAN. Para solucionar tales problemas, puede agregar direccioneen la zona Trust, DMZ o definida por el usuario.

Propiedades de las direcciones IP secundariasLas direcciones secundarias tienen ciertas propiedades que afectan a cómo se puepropiedades son las siguientes:

• Entre dos direcciones IP secundarias cualesquiera no puede haber solapamsubred. Tampoco puede haber solapamientos en las direcciones de subredcualquier subred existente en el dispositivo NetScreen.

• Cuando se administra un dispositivo NetScreen a través de una dirección IPsiempre tiene las mismas propiedades de administración que la dirección IPpuede especificar una configuración de administración separada para la dir

• Tampoco se puede configurar una puerta de enlace para una dirección IP s

• Siempre que se cree una nueva dirección IP secundaria, el dispositivo NetSla correspondiente entrada en la tabla de enrutamiento. Cuando se elimina dispositivo elimina automáticamente la entrada correspondiente en la tabla

Habilitar o inhabilitar el enrutamiento entre dos direcciones IP secundarias no causaenrutamiento. Por ejemplo, si inhabilita el enrutamiento entre dos direcciones de esdescarta cualquier paquete dirigido de una interfaz a otra, pero no se producirá ningenrutamiento.

Nota: No se pueden crear direcciones IP secundarias múltiples para interfaces en

Capítulo 3 Interfaces Direcciones IP secundarias

76

et1, una interfaz con la



Ejemplo: Crear una dirección IP secundariaEn este ejemplo configurará una dirección IP secundaria (192.168.2.1/24) para etherndirección IP 10.1.1.1/24 asociada a la zona Trust.

WebUI

Network > Interfaces > Edit (para ethernet1) > Secondary IP: Introduzca los sigAdd:


CLI

set interface ethernet1 ip 192.168.2.1/24 secondarysave

Capítulo 3 Interfaces Interfaces loopback

77

itivo NetScreen. Sin embargo, o mientras el dispositivo en el um, donde id_num es un ositivo. Como en una interfaz a de seguridad.

ros de su grupo. El tráfico grupo. Cualquier tipo de rfaz, interfaz de túnel, interfaz

le asignará la dirección IP

aga clic en OK :

ts que residen en otras zonas.


INTERFACES LOOPBACKUna interfaz loopback es una interfaz lógica que emula una interfaz física en el disposa diferencia de una interfaz física, una interfaz loopback está siempre en estado activque reside esté activo. Las interfaces de bucle invertido se denominan loopback.id_nnúmero superior o igual a 16 y denota una interfaz de bucle invertido única en el dispfísica, se debe asignar una dirección IP a una interfaz loopback y asociarla a una zon

Después de definir una interfaz loopback, puede definir otras interfaces como miembpuede alcanzar una interfaz loopback si llega a través de una de las interfaces de suinterfaz puede ser miembro de un grupo de interfaces loopback: interfaz física, subinteredundante o VSI.

Ejemplo: Crear una interfaz loopbackEn el ejemplo siguiente creará la interfaz loopback.1, la asociará a la zona Untrust y 1.1.1.27/24.

WebUI

Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y h

Interface Name: loopback.1

Zone: Untrust (seleccione)

IP Address/Netmask: 1.1.1.27./24

CLIset interface loopback.1 zone untrustset interface loopback.1 ip 1.1.1.27save

6. El valor máximo de id_num que se puede especificar depende de cada plataforma.

Nota: La interfaz loopback no es directamente accesible desde redes o hosDebe definir una directiva para permitir tráfico desde y hacia la interfaz.


78

a. Esta sección muestra

ible por un grupo de interfaces; ión sobre cómo usar la interfaz )” en la pàgina 7 -107.

loopback o la dirección IP de

mo interfaz de administración

administración y haga clic en

interfaz loopback para el loopback no se pueden to de IP o Webauth.


Uso de interfaces loopbackPuede utilizar una interfaz loopback en muchas de las maneras de una interfaz físicejemplos de las maneras en que se puede configurar interfaces loopback.

Puede definir una MIP en una interfaz loopback. Esto permite que la MIP sea accesesta capacidad es exclusiva de las interfaces loopback. Para obtener más informacde bucle invertido con MIPs, consulte “MIP y la interfaz de bucle invertido (loopback

Puede administrar el dispositivo NetScreen utilizando la dirección IP de una interfazadministración asignada a una interfaz loopback.

Ejemplo: Interfaz loopback para la administraciónEn el ejemplo siguiente configurará la interfaz loopback.1, definida anteriormente copara el dispositivo.

WebUI

Network > Interfaces > loopback.1 > Edit: Seleccione todas las opciones de OK.

CLI

set interface loopback.1 managesave

Nota: No se puede asociar una interfaz loopback a una zona HA ni configurar una funcionamiento de la capa 2, ni como interfaz redundante/agregada. En interfaces configurar las siguientes características: NTP, DNS, VIP, IP secundaria, seguimien


79

sitivo NetScreen. En el ejemplo

clic en OK.

erfaz loopback. El estado físico ctiva o no, dependiendo del

lic en OK :

e BGP para el enrutador virtual rar BGP en dispositivos


Ejemplo: BGP en una interfaz loopbackLa interfaz loopback admite el protocolo de enrutamiento dinámico BGP en el disposiguiente habilitará BGP en la interfaz loopback.1.

WebUI

Network > Interfaces > loopback.1 > Edit: Seleccione Protocol BGP y haga

CLI

set interface loopback.1 protocol bgpsave

Ejemplo: VSIs en una interfaz loopbackPuede configurar las interfaces de seguridad virtuales (VSIs) para NSRP en una intdel VSI en la interfaz de bucle invertido está siempre activo. La interfaz puede ser aestado del grupo VSD al que pertenece.

WebUI

Network > Interfaces > New VSI IF: Introduzca los siguientes datos y haga c

Interface Name: VSI Base: loopback.1

VSD Group: 1


Nota: Para habilitar BGP en la interfaz loopback, primero debe crear una instancia dal que planea asociar la interfaz. Para obtener más información sobre cómo configuNetScreen, consulte el Volumen 6, “Enrutamiento”.


80

originado en el dispositivo dirección de la interfaz de n un dispositivo externo). En a anteriormente loopback.1

ga clic en Apply :


CLI

set interface loopback.1:1 ip 1.1.1.1/24save

Ejemplo: Interfaz loopback como interfaz de origenPuede utilizar una interfaz loopback como interfaz de origen para determinado tráfico NetScreen. (Cuando se define una interfaz de origen para una aplicación, se utiliza laorigen especificada en lugar de la dirección de la interfaz saliente para comunicarse coel ejemplo siguiente especificará que el dispositivo NetScreen utilice la interfaz definidpara enviar paquetes de syslog.

WebUI

Configuration > Report Settings > Syslog: Introduzca los siguientes datos y ha

Enable Syslog Messages: (seleccione)

Source interface: loopback.1 (seleccione)

Syslog Servers:

No.: 1 (seleccione)

IP/Hostname: 10.1.1.1

Traffic Log: (seleccione)

Event Log: (seleccione)

CLI

set syslog config 10.1.1.1 log allset syslog src-interface loopback.1set syslog enablesave

Capítulo 3 Interfaces Cambios de estado de la interfaz

81

operan en la capa 2 (modo e sistemas abiertos (“Open

ndo está cableada a otro

para interfaces lógicas está lógicamente activa dos (en las direcciones IP

inactiva cuando no está uede establecer un enlace. el comando CLI siguiente:

nactiva cuando el tráfico que la es IP supervisadas) de una red.

uede estar físicamente activa y, te inactiva, su estado lógico es

permanecen activas y sactiva todas las rutas que ente inactiva, el tráfico podría

lujo de tráfico” en la pàgina 99). onfigurar rutas alternativas


CAMBIOS DE ESTADO DE LA INTERFAZUna interfaz puede estar en uno de los estados siguientes:

• Physically Up (Físicamente activa ) – Para interfaces Ethernet físicas quetransparente) o en la capa 3 (modo de ruta) en el modelo de interconexión dSystems Interconnection” u “OSI”). Una interfaz está físicamente activa cuadispositivo de red y puede establecer un enlace a ese dispositivo.

• Logically Up (Lógicamente activas) – Tanto para interfaces físicas como (subinterfaces, interfaces redundantes e interfaces agregadas). Una interfazcuando el tráfico que la atraviesa puede alcanzar los dispositivos especificasupervisadas) de una red.

• Physically Down (Físicamente inactivas) – Una interfaz está físicamentecableada a otro dispositivo de la red o cuando, aún estando cableada, no pTambién puede forzar que una interfaz esté físicamente inactiva ejecutando set interface interface phy link-down .

• Logically Down (Lógicamente inactiva) – Una interfaz está lógicamente iatraviesa no puede alcanzar los dispositivos especificados (en las direccion

El estado físico de una interfaz tiene prioridad sobre su estado lógico. Una interfaz pal mismo tiempo, lógicamente activa o inactiva. Cuando una interfaz está físicamenirrelevante.

Cuando el estado de una interfaz es activo, todas las rutas que utilizan esa interfaz utilizables. Cuando el estado de una interfaz es inactivo, el dispositivo NetScreen deutilizan esa interfaz aunque, dependiendo de si la interfaz está físicamente o lógicamseguir atravesando una interfaz en estado inactivo (consulte “Interfaces inactivas y fPara compensar la pérdida de rutas que implica la pérdida de una interfaz, puede cutilizando una interfaz alternativa.


82

ado en una interfaz de hacer que la interfaz ento, puede utilizar el siguiente

up { logically |

rfaz supervisora al estado estado de la interfaz

ntes. Cada uno de estos isora cambie de activo a


Dependiendo de la acción configurada para ejecutarse al detectar un cambio de estsupervisada, el cambio del estado activo al inactivo en una interfaz supervisada puesupervisora cambie su estado de inactivo a activo. Para configurar este comportamicomando CLI:

set interface interface monitor threshold number action physically }

Al introducir este comando, el dispositivo NetScreen fuerza automáticamente la inteinactivo. Si falla el objeto supervisado (dirección IP, interfaz o zona supervisada), elsupervisora se activa (lógica o físicamente, dependiendo de su configuración).

Una interfaz puede supervisar objetos en cuanto al menos uno de los eventos siguieeventos, individual o combinado, puede provocar que el estado de la interfaz supervinactivo o viceversa:

• Desconexión/reconexión física

• Fallo/éxito del seguimiento de IP

• Fallo/éxito de una interfaz supervisada

• Fallo/éxito de una zona de seguridad supervisada


83

seguimiento de IP vuelve a amente un segundo entre el pervisora.

ón física a otros dispositivos de ido un enlace con él, su estado

como desactivar,…

supervisora iva.


Si, después de fallar, un objeto supervisado tiene éxito (la interfaz se reconecta o eltener éxito), la interfaz supervisora vuelve a activarse. Hay un retardo de aproximadmomento en que el objeto supervisado tiene éxito y la reactivación de la interfaz su

Cada uno de los eventos antedichos se presenta en las secciones siguientes.

Supervisión de la conexión físicaLas interfaces físicas de un dispositivo NetScreen supervisan el estado de su conexila red. Cuando una interfaz está conectada a otro dispositivo de la red y ha estableces físicamente activo y todas las rutas que utilizan esa interfaz están activas.

✗

Si un objeto supervisado falla…

Desconexión física

Fallo del seguimiento

de IP

Fallo de la interfaz supervisada

Fallo de la zona supervisada

y el peso de ese objeto es ≥ al umbral de fallos de supervisión, …

y la acción se establece

la interfazse desact

Ninguna respuesta a las peticiones de eco ICMP

Todas las interfaces en la misma zona se

desactivan.

Zona de seguridad

La interfaz se desconecta.

Los fallos de seguimiento de IP exceden el umbral.

Interfaz supervisora


84

mando get interface y en la ") o inactivo (“down”).

te id number y en la página activa. Si no hay asterisco, está

s a través de una interfaz, de en pueda desactivar todas las ta desactivada vuelve a

IP.

la utilizada con NSRP para r ejemplo, si una interfaz se n de salto siguiente en la uimiento de IP en una interfaz, imo de cuatro direcciones IP de s objetivos para comprobar si

ico de veces, dicha dirección IP ible que el dispositivo que conduzca al mismo

ciada a la misma zona que la interfaz a 10 -72).


Puede consultar el estado de una interfaz en la columna “State” del resultado del cocolumna “Link” de la página Network > Interfaces de WebUI. Puede estar activo (“up

Puede consultar el estado de una ruta en el campo de estado del comando get rouNetwork > Routing > Routing Entries de WebUI. Un asterisco indica que la ruta está inactiva.

Seguimiento de direcciones IPEl dispositivo NetScreen puede realizar un seguimiento de direcciones IP específicaforma que cuando una o varias de ellas queden inaccesibles, el dispositivo NetScrerutas asociadas a esa interfaz, incluso aunque la conexión física siga activa7. Una ruactivarse cuando el dispositivo NetScreen retoma el contacto con esas direcciones

NetScreen utiliza una supervisión de rutas de capa 3, o seguimiento de IP, similar asupervisar la accesibilidad de direcciones IP específicas a través de una interfaz. Poconecta directamente a un enrutador, es posible hacer un seguimiento de la direccióinterfaz para determinar si el enrutador sigue estando accesible. Al configurar el segel dispositivo NetScreen envía peticiones de eco ICMP (ping) en la interfaz a un máxdestino a intervalos definidos por el usuario. El dispositivo NetScreen supervisa estose recibe una respuesta. Si no se recibe respuesta de un destino un número específse considera inaccesible. Si no se obtiene respuesta de uno o más destinos, es posNetScreen desactive las rutas asociadas a dicha interfaz. Si hay disponible otra rutadestino, el dispositivo NetScreen redirige el tráfico para utilizar la nueva ruta.

7. En ciertos dispositivos con ScreenOS, esta acción también hace que se conmute por error a la interfaz de respaldo asoen la que se configuró el seguimiento de IP (consulte “Definición de conmutación por error de interfaces” en la pàgin


85

nfigurado una dirección IP de

HA o MGT)

a el seguimiento de IP puede z compartida el seguimiento de

P por parte del dispositivo seguimiento. En esta suma se an para el seguimiento de IP el nivel vsys.

interfaz. Por cada dirección IP

o a la dirección IP especificada.se considere que la conexión

onexiones IP fallidas supera un

pa 3 (modo de ruta).

agregada, no puede ser un

. Sin embargo, desde dentro del vsys nsulte “Supervisión de interfaces” en


Configuración del seguimiento de IPPuede definir el seguimiento de IP en las siguientes interfaces para las que haya coadministración:

• Interfaz física asociada a una zona de seguridad (no las zonas funcionales

• Subinterfaz• Interfaz redundante• Interfaz agregada

En los dispositivos que admiten sistemas virtuales, la interfaz en la que se establezcpertenecer al sistema raíz o a un sistema virtual (vsys). Sin embargo, en una interfaIP sólo se puede establecer en el nivel raíz8.

Para cada interfaz se puede configurar el seguimiento de hasta cuatro direcciones INetScreen. En un único dispositivo, se pueden configurar hasta 64 direcciones IP deincluyen todas las direcciones IP de seguimiento, independientemente de si se utilizbasado en interfaz, para el seguimiento de IP basado en NSRP, en el nivel raíz o en

Las direcciones IP de seguimiento no tienen por qué estar en la misma subred que laque desee someter a un seguimiento, se puede especificar lo siguiente:

• Intervalo, en segundos, transcurrido el cual se enviarán las peticiones de ec• Número de intentos de petición de eco consecutivos sin éxito antes de que

con la dirección IP ha fallado.• Peso de la conexión IP fallida (una vez que la suma de pesos de todas las c

umbral determinado, se desactivan las rutas asociadas a la interfaz).

Nota: La interfaz puede operar en la capa 2 (modo transparente) o en la ca

Nota: Aunque la interfaz puede ser una interfaz redundante o una interfaz miembro de una interfaz redundante o agregada.

8. Desde un vsys, puede establecer la supervisión de una interfaz compartida desde una interfaz que pertenezca al vsysno se puede establecer la supervisión de interfaces desde una interfaz compartida. Para obtener más información, cola pàgina 91.


86

ace predeterminada de una LI)

it (para la interfaz cliente DHCP

direcciones IP:

intentos fallidos consecutivos cción IP que deben producirse l umbral, el nivel de tividad será inaceptable. Este lor predeterminado es 3.

tos fallidos acumulados por tas asociadas a dicha interfaz. terminado es 1, lo que significa ada y supervisada provoca la

portancia de la conectividad de ignar pesos relativamente es menos importantes. al de fallos de una dirección IP en una interfaz es 3, el fallo de l de fallos para el seguimiento El fallo de una única dirección el seguimiento de IP en la

to de una dirección IP, el tabla de enrutamiento.


También puede configurar el dispositivo NetScreen para supervisar la puerta de enlinterfaz que sea un cliente PPPoE o DHCP. Para ello, utilice la opción “Dynamic”: (Cset interface interface monitor dynamic o bien (WebUI) Network > Interfaces > Edo PPPoE) > Monitor > Track IP > Add: seleccione Dynamic.

Pueden establecerse dos tipos de umbrales en la configuración del seguimiento de

• Umbral de fallos de una determinada dirección IP supervisada: Número de por obtener respuesta a una petición de eco (“ping”) de una determinada direpara que se considere un fallo de acceso a esa dirección. Si no se supera econectividad con la dirección será aceptable; si se supera, el nivel de conecumbral se establece para cada dirección IP con un valor entre 1 y 200. El va

• Umbral de fallos de seguimiento de IP en la interfaz: Peso total de los intenacceder a direcciones IP de la interfaz que causa la desactivación de las ruEste umbral se puede ajustar en cualquier valor entre 1 y 255. El valor predeque cualquier fallo producido al intentar acceder a una dirección IP configurdesactivación de las rutas asociadas a la interfaz.

Si se aplica un peso (o valor) a una dirección IP supervisada, se puede ajustar la imesa dirección en relación con el acceso a otras direcciones supervisadas. Puede asmayores a direcciones relativamente más importantes, y pesos menores a direccionObserve que los pesos asignados sólo tienen relevancia cuando se alcanza el umbrespecífica supervisada. Por ejemplo, si el umbral de fallos para el seguimiento de IPuna única dirección IP sometida a seguimiento con un peso de 3 completa el umbrade IP en la interfaz, lo que hace que se desactiven las rutas asociadas a la interfaz.IP sometida a seguimiento con un peso de 1 no completaría el umbral de fallos parainterfaz, por lo que las rutas asociadas a la interfaz seguirían activas.

Nota: Cuando se configura el dispositivo NetScreen para que realice un seguimiendispositivo NetScreen no agrega ninguna ruta de host para dicha dirección IP en la


87

signada la dirección de red . La interfaz ethernet3 tiene La interfaz ethernet4 tiene

az de salida con la dirección de trico de 10) se utiliza ethernet4 ce. La ruta predeterminada en

ferior (el valor métrico ute indica cuatro rutas activas

que pasa por ethernet3 está ne menos prioridad.

Zona Untrust

Internet

tador.250

tador.250


Ejemplo: Configuración del seguimiento de IP de interfazEn el ejemplo siguiente, la interfaz ethernet1 está asociada a la zona Trust y tiene a10.1.1.1/24. Las interfaces ethernet3 y ethernet4 están asociadas a la zona Untrustasignada la dirección de red 1.1.1.1/24 y está conectada al enrutador en 1.1.1.250. asignada la dirección de red 2.2.2.1/24 y está conectada al enrutador en 2.2.2.250.

Hay dos rutas predeterminadas configuradas: en una se utiliza ethernet3 como interfenrutador 1.1.1.250 como puerta de enlace; en la otra (configurada con un valor mécomo interfaz de salida con la dirección de enrutador 2.2.2.250 como puerta de enlala que se utiliza ethernet3 es la ruta preferente, puesto que tiene un valor métrico inpredeterminado para rutas estáticas es 1). El siguiente resultado del comando get ropara trust-vr (las rutas activas se señalan con un asterisco). La ruta predeterminadaactiva; la ruta predeterminada que pasa por ethernet4 no está activa, puesto que tie

Zona Trust

10.1.1.0/24

ethernet110.1.1.1/24

ethernet31.1.1.1/24

Enru1.1.1

ethernet42.2.2.1/24 Enru

2.2.2


88

ue pasa por ethernet4 se et3 para supervisar la dirección s rutas asociadas a la interfaz predeterminada que atraviesa 50 de nuevo, la ruta empo, la ruta predeterminada menor que la ruta que pasa por

interfaz de 5 y se configura el or 1.1.1.250, que tiene

----------------------, R - RIP

----------------------P Pref Mtr Vsys----------------------S 20 1 RootC 0 0 RootS 20 10 RootC 0 1 RootC 20 1 Root


Si la ruta que atraviesa ethernet3 deja de estar disponible, la ruta predeterminada qconvertirá en ruta activa. Active y configure el seguimiento de IP en la interfaz ethernde enrutador 1.1.1.250. Si el seguimiento de IP falla al acceder a 1.1.1.250, todas laethernet3 pasan a ser inactivas en el dispositivo NetScreen. En consecuencia, la rutaethernet4 se convierte en activa. Cuando el seguimiento IP pueda acceder a 1.1.1.2predeterminada que pasa por ethernet3 se convertirá en la ruta activa y, al mismo tique atraviesa ethernet4 pasará a estado inactivo, ya que tiene un nivel de prioridad ethernet3.

Con los siguientes ajustes se activa el seguimiento de IP con un umbral de fallos deseguimiento de IP en la interfaz ethernet3 para supervisar la dirección IP de enrutadasignado un peso de 10.

ns-> get routeuntrust-vr (0 entries)----------------------------------------------------------C - Connected, S - Static, A - Auto-Exported, I - ImportediB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1E2 - OSPF external type 2trust-vr (4 entries)---------------------------------------------------------- ID IP-Prefix Interface Gateway ----------------------------------------------------------* 4 0.0.0.0/0 eth3 1.1.1.250 * 2 1.1.1.0/24 eth3 0.0.0.0 3 0.0.0.0/0 eth4 2.2.2.250 * 6 2.2.2.0/24 eth4 0.0.0.0 * 5 10.1.1.0/24 eth1 0.0.0.0


89

s datos y haga clic en

s datos y haga clic en Add :

ht 10

redeterminado (3). Es decir, un peso de 10 al umbral de iento de IP en la interfaz es itivo NetScreen.

CLI

count success-rate 46%


WebUI

Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los siguiente Apply :

Enable Track IP: (seleccione)

Threshold: 5

> Monitor Track IP ADD: Introduzca los siguiente

Static: (seleccione)

Track IP: 1.1.1.250

Weight: 10

CLI

set interface ethernet3 monitor track-ip ip 1.1.1.250 weigset interface ethernet3 monitor track-ip threshold 5set interface ethernet3 monitor track-ipsave

En este ejemplo, el umbral de fallos para la dirección de destino está ajustado al valor psi el destino no devuelve una respuesta a tres peticiones de eco consecutivas, se aplicafallos para el seguimiento de IP en la interfaz. Como el umbral de fallos para el seguim5, un peso de 10 hace que se desactiven las rutas asociadas a la interfaz en el dispos

Puede verificar el estado del seguimiento de IP en la interfaz introduciendo el comandoget interface ethernet3 track-ip tal como se indica a continuación:

ns-> get interface ethernet3 track-ipip address interval threshold wei gateway fail-1.1.1.250 1 1 10 0.0.0.0 343 threshold: 5, failed: 1 ip(s) failed, weighted sum = 10


90

tá activa en estos momentos;

iento de IP utiliza las rutas e destino. Cuando el atraviesa ethernet3 se vuelve a erminada que pasa por ruta predeterminada que pasa

--------------------- R - RIP

--------------------- Pref Mtr Vsys--------------------- 20 1 Root 0 0 Root 20 10 Root 0 1 Root 20 1 Root


El comando get route indica que la ruta predeterminada que atraviesa ethernet4 estodas las rutas que pasan por ethernet3 han dejado de estar activas.

Recuerde que aunque las rutas que pasan por ethernet3 no estén activas, el seguimasociadas a ethernet3 para continuar enviando peticiones de eco a la dirección IP dseguimiento de IP puede acceder de nuevo a 1.1.1.250, la ruta predeterminada que convertir en la ruta activa del dispositivo NetScreen. Al mismo tiempo, la ruta predetethernet4 se convierte en ruta inactiva, ya que su nivel de prioridad es inferior al de lapor ethernet3.

ns-> get routeuntrust-vr (0 entries)-----------------------------------------------------------C - Connected, S - Static, A - Auto-Exported, I - Imported,iB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1E2 - OSPF external type 2trust-vr (4 entries)----------------------------------------------------------- ID IP-Prefix Interface Gateway P----------------------------------------------------------- 4 0.0.0.0/0 eth3 1.1.1.250 S 2 1.1.1.0/24 eth3 0.0.0.0 C* 3 0.0.0.0/0 eth4 2.2.2.250 S* 6 2.2.2.0/24 eth4 0.0.0.0 C* 5 10.1.1.0/24 eth1 0.0.0.0 C


91

y ejecutar una determinada az supervisada cambia de

también se desactive otra aba de desactivarse. Puede

edar física o lógicamente

está desactivando as interfaces que se cadenar un fallo de NSRP. Un sólo puede producirse como de una interfaz.

también se desactive otra aba de desactivarse. Aunque

va, puede especificar si el e ser lógico o físico.

Cambio de estado para ethernet2Si• el peso del fallo de

ethernet3 es ≥ al umbral de fallos de supervisión y

• la acción en caso de fallo es cambiar de activo a inactivo,

entonces ethernet2 cambia su estado de activo a inactivo.


Supervisión de interfacesUn dispositivo NetScreen puede supervisar el estado físico y lógico de las interfacesacción en función de los cambios observados. Por ejemplo, si el estado de una interfactivo a inactivo, puede ocurrir lo siguiente:

Si Entoncesel estado físico de una interfaz cambia de activo a inactivo

el cambio de estado puede provocar que interfaz que esté supervisando a la que acespecificar si la segunda interfaz debe qudesactivada.

El cambio de estado de la interfaz que sefísicamente, o el peso combinado de ambdesactivan al mismo tiempo, puede desenfallo de dispositivo NSRP o de grupo VSDresultado de un cambio en el estado físico

el estado lógico de una interfaz cambia de activo a inactivo como resultado de un fallo de seguimiento de IP

el cambio de estado puede provocar que interfaz que esté supervisando a la que acla primera interfaz esté lógicamente inactiestado inactivo de la segunda interfaz deb

Utilizando el seguimiento de IP, ethernet3 supervisa al enrutador en 1.1.1.250.

ethernet3IP 1.1.1.1

ethernet2IP 2.1.1.1

Utilizando la supervisión de interfaces, ethernet2 supervisa a ethernet3.

Cambio de estado para ethernet3Si• el número de intentos fracasados

de ejecutar un “ping” a 1.1.1.250 excede el umbral de fallos de esa dirección IP supervisada,

• el peso de la IP supervisada 1.1.1.250 es ≥ al umbral de fallos del objeto supervisado,

• el peso del objeto supervisado es ≥al umbral de fallos de supervisión y


entonces ethernet3 cambia su estadode activo a inactivo.

Una interfaz supervisando a otra interfaz


92

ocedimientos:

> Edit Interface: Introduzca los

sea supervisar.

weight number ]

o: 255.

si cualquiera de las interfaces

admite configuraciones en las

Segundo cambio de estadoSi• el peso del fallo de la

primera interfaz es ≥ al umbral de fallos de supervisión de la segunda interfaz y


la segunda interfaz también cambia su estado de activo a inactivo.


Para establecer la supervisión de interfaces, ejecute cualquiera de los siguientes pr

WebUINetwork > Interfaces > Edit (para la interfaz que desee supervisar) > Monitorsiguientes datos y haga clic en Apply :

Interface Name: Seleccione la interfaz que de

Weight: Indique un peso entre 1 y 255.

CLIset interface interface1 monitor interface interface2 [

Si no indica un peso, el dispositivo NetScreen aplica el valor predeterminad

Cuando dos interfaces se supervisan mutuamente, forman un bucle. En este caso, cambia de estado, la otra interfaz del bucle también lo hace.

Nota: Una interfaz sólo puede pertenecer a un bucle a la vez. Juniper Networks noque una interfaz pertenezca a varios bucles.

Utilizando el seguimiento de IP, ambas interfaces supervisan enrutadores.

ethernet3IP 1.1.1.1

ethernet2IP 2.1.1.1

Utilizando la supervisión de interfaces, también se supervisan mutuamente.

Primer cambio de estadoSi• el número de intentos fracasados

de ejecutar un “ping” a cualquierade los enrutadores excede el umbral de fallos de esa direcciónIP supervisada,

• el peso de la IP supervisada fallida es ≥ al umbral de fallos delobjeto supervisado,

• el peso del objeto supervisado es≥ al umbral de fallos de supervisión y


esa interfaz cambia su estado de activo a inactivo.

Bucle – Dos interfaces supervisándose mutuamente


93

hernet2. Dado que el peso de to ethernet1 como ethernet2 ar el fallo de ethernet3 (y

zca los siguientes datos y haga

po “Monitor Threshold” y haga

thernet1 y ethernet2 (consulte anera de que ethernet1 y s de la red o que no puedan

en 16, el fallo de ethernet1 o de

et2. Dado que el umbral de fallos bas interfaces combinadas, para

s interfaces supervisadas.

7 8


Ejemplo: Dos interfaces supervisadasEn este ejemplo configurará ethernet3 para supervisar dos interfaces, ethernet1 y etcada interfaz supervisada (8 + 8) es igual al umbral de fallos de supervisión (16), tandeben fallar (y cambiar su estado de activo a inactivo) simultáneamente para provoccambiar a su estado de activo a inactivo)9.

WebUINetwork > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface: Introduclic en Apply:

ethernet1: (seleccione), Weight: 8ethernet2: (seleccione), Weight: 8

Network > Interfaces > Edit (para ethernet3) > Monitor: Escriba 16 en el camclic en Apply.

Nota: Este ejemplo omite la configuración del seguimiento de IP en las interfaces e“Seguimiento de direcciones IP” en la pàgina 84). Sin seguimiento de IP, la única methernet2 puedan fallar es que sean desconectadas físicamente de otros dispositivomantener enlaces con esos dispositivos.

9. Si establece el umbral de fallos de supervisión en 8, o lo deja en 16 y establece el peso de cada interfaz supervisadaethernet2 puede hacer fallar a ethernet3.

ethernet3 supervisa a ethernet1 y a ethernde supervisión (F-T) = los pesos (W) de amhacer fallar a ethernet3 deben fallar las do

W = 8 W = 8Interfaces supervisadas:

ethernet1, peso 8ethernet2, peso 8

Monitor Failure Threshold: 16

F-T: 16

Interfaces del dispositivo NetScreen

ethernet1 – ethernet82 3 5 61 4


94

8 8

t1 y ethernet3. A , si una cambia de estado, la o reenvia tráfico a través de ero estas rutas tienen otras puertas de enlace terfaces falla, el dispositivo s se encuentran en el

7 8

s rutas que se refieren a . Entonces, el dispositivo ethernet2 y ethernet4.

net1 gateway 10.1.1.250 metric 10net2 gateway 10.1.2.250 metric 12t3 gateway 1.1.1.250 metric 10t4 gateway 1.1.2.250 metric 12

realizan el seguimiento de a al enrutador interno en supervisa al enrutador

shold: 10

8hold: 8


CLIset interface ethernet3 monitor interface ethernet1 weightset interface ethernet3 monitor interface ethernet2 weightset interface ethernet3 monitor threshold 16save

Ejemplo: Bucle de supervisión de interfacesEn este ejemplo, primero configurará el seguimiento de IP para dos interfaces, ethernecontinuación, configurará estas interfaces para supervisarse mutuamente de modo queotra actúe de igual modo. Por último, definirá dos conjuntos de rutas. El primer conjuntethernet1 y ethernet3. El segundo conjunto tiene las mismas direcciones de destino, pmétricas de menor rango y utilizan otras interfaces de salida (ethernet2 y ethernet4) y diferentes a las del primer conjunto. Con esta configuración, si el primer conjunto de inNetScreen puede redirigir todo el tráfico a través del segundo conjunto. Todas las zonadominio de enrutamiento trust-vr.

Interfaces del dispositivo NetScreen

ethernet1 – ethernet82 3 5 6

ethernet1 y ethernet3 se supervisan mutuamente. Dado que el peso de la interfaz supervisada es = al umbral de fallos de supervisión, el fallo de cualquier interfaz hace que la otra falle también.

Bucle de interfaz supervisora:ethernet1 y ethernet3

Monitored Interface Weight: 8Monitor Failure Threshold: 8

41

Si ethernet1 y ethernet3 se desactivan, laesas interfaces también quedan inactivasNetScreen redirige el tráfico a través de

10.1.1.1/24Zona Trust

10.1.2.1/24Zona Trust

1.1.1.1/24Zona Untrust

1.1.2.1/24Zona Untrust

Enrutador interno

10.1.1.25010.1.2.250

Enrutador externo1.1.1.2501.1.2.250

Rutasset route 10.1.0.0/16 interface etherset route 10.1.0.0/16 interface etherset route 0.0.0.0/0 interface etherneset route 0.0.0.0/0 interface etherne

ethernet1 y ethernet3IP. ethernet1 supervis10.1.1.250. ethernet3externo en 1.1.1.250.Track IP Failure ThreTrack IP Weight: 8Track Object Weight: Monitor Failure Thres

A los hosts de la zona Trust

A Internet


95

ntes datos y haga clic en

ntes datos y haga clic en Add :


CLI set interface interface monitor cas asociadas a cualquier zona de


WebUI

1. Seguimiento de IPNetwork > Interfaces > Edit (para ethernet1) > Monitor: Introduzca los siguieApply .


Monitor Threshold: 810

Track IP Option: Threshold: 8

Weight: 8

> Monitor Track IP ADD: Introduzca los siguie


Track IP: 10.1.1.250

Weight: 8

Interval: 3 Seconds

Threshold: 10

Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los siguieApply .


Monitor Threshold: 8

Track IP Option: Threshold: 8

Weight: 8

10. Para controlar si el estado de una interfaz se vuelve lógica o físicamente inactivo (o activo), debe utilizar el comandothreshold number action { down | up } { logically | physically }. Sólo se pueden activar o desactivar interfaces físiseguridad distinta de la zona Null.


96

ntes datos y haga clic en Add :






> Monitor Track IP ADD: Introduzca los siguie


Track IP: 1.1.1.250

Weight: 8

Interval: 3 Seconds

Threshold: 10

2. Supervisión de interfacesNetwork > Interfaces > Edit (para ethernet1) > Monitor > Edit Interface: Introduclic en Apply :

ethernet3: (seleccione), Weight: 8

Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface: Introduclic en Apply :

ethernet1: (seleccione), Weight: 8

3. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient



Interface: ethernet1


Metric: 10

Network > Routing > Routing Entries > trust-vr New: Introduzca los siguient





Metric: 12


97

s datos y haga clic en OK :

s datos y haga clic en OK :

ht 8physicallyht 8


Network > Routing > Routing Entries > trust-vr New: Introduzca los siguiente





Metric: 10

Network > Routing > Routing Entries > trust-vr New: Introduzca los siguiente





Metric: 12

CLI

1. Seguimiento de IPset interface ethernet1 track-ip ip 10.1.1.250 weight 8set interface ethernet1 track-ip threshold 8set interface ethernet1 track-ip weight 8set interface ethernet1 track-ip

set interface ethernet3 track-ip ip 1.1.1.250 weight 8set interface ethernet3 track-ip threshold 8set interface ethernet3 track-ip weight 8set interface ethernet3 track-ip

2. Supervisión de interfacesset interface ethernet1 monitor interface ethernet3 weigset interface ethernet1 monitor threshold 8 action down set interface ethernet3 monitor interface ethernet1 weig


98

physically

t1 gateway 10.1.1.250

t2 gateway 10.1.2.250

gateway 1.1.1.250

gateway 1.1.2.250

as interfaces de una zona de a zona de seguridad, deben una sola interfaz asociada a ctiva.

cualquiera de los siguientes

r > Edit Zone: Introduzca los

ue sea supervisada.

r ]

o: 255.


set interface ethernet3 monitor threshold 8 action down

3. Rutasset vrouter trust-vr route 10.1.0.0/16 interface etherne

metric 10set vrouter trust-vr route 10.1.0.0/16 interface etherne

metric 12set vrouter trust-vr route 0.0.0.0/0 interface ethernet3

metric 10set vrouter trust-vr route 0.0.0.0/0 interface ethernet4

metric 12save

Supervisión de zonas de seguridadAdemás de supervisar interfaces individuales, una interfaz puede supervisar todas lseguridad (cualquier zona de seguridad salvo la suya propia). Para que falle toda unfallar cada una de las interfaces asociadas a esa zona. Mientras permanezca activauna zona supervisada, el dispositivo NetScreen considerará que toda la zona está a

Para configurar una interfaz de modo que supervise una zona de seguridad, ejecuteprocedimientos:

WebUINetwork > Interfaces > Edit (para la interfaz que desee supervisar) > Monitosiguientes datos y haga clic en Apply :

Zone Name: Seleccione la zona que desee q

Weight: Indique un peso entre 1 y 255.

CLIset interface interface monitor zone zone [ weight numbe

Si no indica un peso, el dispositivo NetScreen aplica el valor predeterminad


99

direccionar el tráfico saliente ibles a través de la primera s asociadas a una interfaz

eguir enviando y recibiendo sesión existente que puede ismo, el dispositivo

irecciones IP de destino para sando una interfaz en la que rutas. El modo en el que el ientes factores:e salida para una sesión, es positivo NetScreen continúe

entrada para una sesión, la een redirija las respuestas de enviará las respuestas de la l dispositivo NetScreen haya comando está desactivado).

ón MAC del iniciador de una mando CLI set arp AC del iniciador de una o procese la respuesta cuentra en la tabla ARP, el la ARP, el dispositivo dirección MAC recibida a su produce un cambio de ruta.nto de IP en la interfaz de a el comando

ios de rutas y cómo pueden s de NetScreen-5XT y -5GT. n por error de interfaz. Para


Interfaces inactivas y flujo de tráficoLa configuración del seguimiento de IP en una interfaz permite al dispositivo NetScreen rea través de una interfaz distinta cuando determinadas direcciones IP dejan de ser accesinterfaz. Sin embargo, aunque es posible que el dispositivo NetScreen desactive las rutadebido a un fallo de seguimiento de IP, la interfaz puede continuar físicamente activa y stráfico. Por ejemplo, el dispositivo NetScreen sigue procesando el tráfico entrante de unallegar a la interfaz original en la que se haya producido el fallo de seguimiento de IP. AsimNetScreen continúa utilizando la interfaz para enviar peticiones de comando ping a las ddeterminar si los destinos son accesibles de nuevo. En estos casos, el tráfico sigue atraveha fallado el seguimiento de IP y para la que el dispositivo NetScreen ha desactivado lasdispositivo NetScreen gestiona el tráfico de sesión en dicha interfaz depende de los sigu

• Si la interfaz en la que se configura el seguimiento de IP actúa como interfaz dposible que las respuestas de la sesión sigan llegando a la interfaz y que el disprocesándolas.

• Si la interfaz en la que se configura el seguimiento de IP actúa como interfaz deaplicación del comando set arp always-on-dest hace que el dispositivo NetScrla sesión a otra interfaz. Si no activa este comando, el dispositivo NetScreen resesión a través de la interfaz en la que ha fallado el seguimiento de IP aunque edesactivado las rutas que utilizan dicha interfaz. (De forma predeterminada, esteDe forma predeterminada, un dispositivo NetScreen guarda en caché la direccisesión cuando recibe el paquete inicial de una sesión nueva. Si introduce el coalways-on-dest , el dispositivo NetScreen no guardará en caché la dirección Msesión. En su lugar, el dispositivo NetScreen realizará una consulta ARP cuandcorrespondiente a dicho paquete inicial. Si la dirección MAC del iniciador se endispositivo NetScreen la utilizará. Si la dirección MAC no se encuentra en la tabNetScreen envía una petición ARP para la dirección MAC de destino y agrega latabla ARP. El dispositivo NetScreen realiza otra consulta ARP cada vez que se

En la siguiente sección se describen los diversos contextos en los que falla el seguimiesalida y en la interfaz de entrada; y, en el caso de la última, qué ocurre cuando se utilizset arp always-on-dest .

Nota: En la sección siguiente se describe cómo el seguimiento de IP dispara los cambafectar estos cambios al flujo de paquetes de todos los dispositivos NetScreen distintoEn el caso de estos dispositivos, un fallo de seguimiento de IP dispara una conmutacióobtener más información, consulte “Interfaces Dual Untrust” en la pàgina 10 -69.


100

la interfaz de salida para las , tal como se indica a

e salida deben encontrarse l redireccionamiento.

Untrust

Host B2.2.2.2

Si el paquete pertenece a una

de una sesión y cada vez que r a 0.0.0.0/0, enviar el paquete

rzonal procedente del host A á enviando.

ue el host B recibe el paquete.

uertas de enlace:

1.1.1.2541.1.2.254

4

Seguimiento de IP activado desde ethernet2

Respondedor


Fallo en la interfaz de salidaEn el siguiente contexto, vamos a configurar el seguimiento de IP en ethernet2, que essesiones del host A al host B. El host A inicia la sesión enviando un paquete al host Bcontinuación.

Nota: Primero hay que crear dos rutas que conduzcan al host B, y ambas interfaces den la misma zona para que se aplique la misma directiva al tráfico antes y después de

Host A10.1.1.5

Zona Trust Zona

10.1.1.0/24

Interfaz de entradaethernet1

10.1.1.1/24

Primera interfaz de salidaethernet21.1.1.1/24

Segunda interfaz de salidaethernet31.1.2.1/24

1. El host A en 10.1.1.5 envía un paquete a ethernet1 (10.1.1.1) destinado al host B en 2.2.2.2.2. El dispositivo NetScreen realiza las siguientes tareas:

2.1 Consulta de sesiones : si se trata del primer paquete, el dispositivo NetScreen crea una sesión.sesión existente, el dispositivo NetScreen actualiza la entrada de la tabla de sesiones.

2.2 Consulta de rutas : el dispositivo NetScreen realiza una consulta de rutas para el primer paquetela ruta cambia. Con la consulta de rutas se obtiene como resultado la siguiente ruta: para accedea través de la interfaz ethernet2 hasta la puerta de enlace 1.1.1.254.

2.3 Consulta de directivas : el dispositivo NetScreen aplica las directivas de seguridad al tráfico inteen la zona Trust y destinado al host B en la zona Untrust para el tipo de tráfico que el host A est

3. El dispositivo NetScreen reenvía el paquete a través de ethernet2 a la puerta de enlace en 1.1.1.254.4. La puerta de enlace en 1.1.1.254 reenvía el paquete al siguiente salto. El enrutamiento continúa hasta q

P

Consulta de

sesiones

Consulta de rutas

Consulta de

directivas

Flujo de tráfico del host A al host B: petición (inicio de sesión)

1

2

3

Iniciador


101

similar a través del dispositivo

na Untrust

Host B2.2.2.2

endo NAT para mayor

salto, que es 1.1.1.1, la

puesta, el dispositivo sesiones. ARP para averiguar la host A.

1

Seguimiento de IP desde ethernet2 correcto.

Puertas de enlace:1.1.1.2541.1.2.254

Respondedor


Cuando el host B responde al host A, el tráfico de retorno sigue una ruta de regresoNetScreen, como se indica a continuación.

Host A10.1.1.5

Zona Trust Zo

10.1.1.0/24


10.1.1.1/24


1. El host B en 2.2.2.2 responde con un paquete destinado al host A en 10.1.1.5 (omiticlaridad).

2. Cuando la puerta de enlace en 1.1.1.254 recibe la respuesta, la reenvía al siguiente dirección IP de ethernet2.

3. El dispositivo NetScreen realiza una consulta de sesiones. Como se trata de una resNetScreen la relaciona con una sesión existente y actualiza la entrada de la tabla de

4. Utilizando la dirección MAC del host A guardada en caché o realizando una consultadirección MAC, el dispositivo NetScreen reenvía el paquete a través de ethernet1 al

Consulta de sesiones

Flujo de tráfico del host A al host B: respuesta

2

3

4


Iniciador


102

s que utilicen ethernet2 y utiliza l host B al host A pueden llegar s reenvía a través de ethernet1

na Untrust

Host B2.2.2.2

siguientes tareas:en ethernet2. Realiza r ethernet2 y la puerta e 1.1.2.254.es en busca de todas

cia la puerta de enlace

ia 1.1.2.254.etScreen realiza una temente de la interfaz rnet1 al host A.

Seguimiento de IP desde ethernet2 incorrecto.

Puertas de enlace:

1.1.1.2541.1.2.254

Respondedor


Si falla el seguimiento de IP en ethernet2, el dispositivo NetScreen desactiva las rutaethernet3 para el tráfico saliente destinado al host B. Sin embargo, las respuestas detanto a través de ethernet2 como a través de ethernet3, y el dispositivo NetScreen laal host A.

Host A10.1.1.5

Zona Trust Zo

10.1.1.0/24


10.1.1.1/24


1. Cuando falla el seguimiento de IP en ethernet2, el dispositivo NetScreen realiza las1.1 Cambio de ruta : el dispositivo NetScreen desactiva todas las rutas que utilic

una consulta de rutas y sustituye la ruta que conduce a 2.2.2.2 y que pasa pode enlace 1.1.1.254 por otra ruta que pasa por ethernet3 y la puerta de enlac

1.2 Actualización de sesión : el dispositivo NetScreen analiza la tabla de sesionlas entradas que utilicen ethernet2 y las redirecciona a través de ethernet3 ha1.1.2.254.

2. El dispositivo NetScreen redirecciona el tráfico del host A a través de ethernet3 hac3. Las respuestas del host B pueden llegar a ethernet2 o a ethernet3. El dispositivo N

consulta de sesiones y relaciona los paquetes con una sesión existente. Independiena la que lleguen los paquetes, el dispositivo NetScreen los reenvía a través de ethe

4. El dispositivo NetScreen reenvía el paquete a través de ethernet1 al host A.

Actualización de sesiones

Flujo de tráfico del host A al host B: el fallo de seguimiento de IP dispara el redireccionamiento

1

2

3

Cambio de ruta

4

Nota: El tráfico de salida sólo utiliza ethernet3; en cambio, el tráfico de entrada puede utilizar tanto ethernet2 como ethernet3.

Segunda interfaz de salida

ethernet31.1.2.1/24

Iniciador


103

esta vez ethernet2 será la El host B iniciará la sesión

ilar a través del dispositivo

na Untrust

Host B2.2.2.2

para mayor claridad). tareas:na entrada nueva en

.1.5.

1

Seguimiento de IP activado desde ethernet2.


Iniciador


Fallo en la interfaz de entradaEn el siguiente supuesto, configurará de nuevo el seguimiento de IP en ethernet2, perointerfaz de entrada en el dispositivo NetScreen para las sesiones del host B al host A. enviando un paquete al host A, tal como se indica a continuación.

Cuando el host A responde al host B, el tráfico de retorno sigue una ruta de regreso simNetScreen, como se indica a continuación.

Host A10.1.1.5

Zona Trust Zo

10.1.1.0/24


10.1.1.1/24


1. El host B en 2.2.2.2 envía un paquete destinado al host A en 10.1.1.5 (omitiendo NAT2. Cuando el paquete llega a ethernet2, el dispositivo NetScreen realiza las siguientes

2.1 Consulta de sesiones (y como se trata del primer paquete de la sesión, crea ula tabla de sesiones)

2.2 Consulta de rutas2.3 Consulta de directivas

3. El dispositivo NetScreen reenvía el paquete a través de ethernet1 al host A en 10.1

Consulta de directivas

Consulta de rutas


Flujo de tráfico del host B al host A: petición (inicio de sesión)

2

3


Respondedor


104

s que utilicen ethernet2 y utiliza l host B al host A pueden seguir hernet1 al host A. El flujo de és de que se produzca un fallo

rutas distintas, en función de la

petición ARP para la dirección ndo se produzca un cambio de aché la dirección MAC del nada, este comando está

na Untrust

Host B2.2.2.2

Seguimiento de IP desde ethernet2 correcto.

al host B (2.2.2.2).esta, el dispositivo NetScreen

realizando una consulta ARP de ethernet2 a la puerta de enlace.lto. El enrutamiento continúa

4


Iniciador


Si falla el seguimiento de IP en ethernet2, el dispositivo NetScreen desactiva las rutaethernet3 para el tráfico saliente destinado al host B. Sin embargo, las peticiones dellegando a través de ethernet2, y el dispositivo NetScreen las reenvía a través de etdatos para las peticiones del host B al host A sigue teniendo el mismo aspecto despude seguimiento de IP. Sin embargo, las respuestas del host A pueden atravesar dosaplicación del comando set arp always-on-dest .

Si activa el comando set arp always-on-dest , el dispositivo NetScreen enviará unaMAC de destino cuando procese la respuesta al primer paquete de una sesión o cuaruta. (Cuando este comando está desactivado, el dispositivo NetScreen guarda el ciniciador de la sesión y la utiliza para procesar las respuestas. De forma predetermidesactivado).

Host A10.1.1.5

Zona Trust Zo

10.1.1.0/24


10.1.1.1/24



Flujo de tráfico del host B al host A: respuesta

1

2

3

1. El host A en 10.1.1.5 envía un paquete de respuesta a ethernet1 en 10.1.1.1 destinado2. El dispositivo NetScreen realiza una consulta de sesiones. Como se trata de una respu

la relaciona con una sesión existente y actualiza la entrada de la tabla de sesiones.3. Utilizando la dirección MAC de la puerta de enlace en 1.1.1.254 guardada en caché o

para averiguar la dirección MAC, el dispositivo NetScreen reenvía el paquete a través 4. Cuando la puerta de enlace en 1.1.1.254 recibe la respuesta, la reenvía al siguiente sa

hasta que el host B recibe el paquete.

Respondedor



105

primero todas las rutas que l host B a través de ethernet3 y rige todas las sesiones a la Screen realizará una consulta na sesión afectada por el aquetes del host B, el la puerta de enlace en

na Untrust

Host B2.2.2.2

Seguimiento de IP desde ethernet2 incorrecto.

ientes tareas:thernet2. Sustituye la ruta que a ruta que pasa por ethernet3 y la

en busca de todas las entradas nlace 1.1.2.254.

que la estructura de enrutamiento iona el paquete con una sesión

za una consulta ARP para la

Iniciador



Cuando falla el seguimiento de IP en ethernet2, el dispositivo NetScreen desactiva utilicen ethernet2 y realiza una consulta de rutas. Encuentra otra ruta para acceder ala puerta de enlace en 1.1.2.254. A continuación, analiza la tabla de sesiones y redinueva ruta. Si está activado el comando set arp always-on-dest , el dispositivo NetARP cuando reciba el siguiente paquete del host A porque el paquete pertenece a ucambio de ruta. Independientemente de la interfaz de entrada a la que lleguen los pdispositivo NetScreen envía todas las respuestas del host A a través de ethernet3 a1.1.2.254.

Host A10.1.1.5

Zona Trust Zo

10.1.1.0/24


10.1.1.1/24


Flujo de tráfico del host B al host A: el fallo de seguimiento de IP dispara el redireccionamiento

2

1. Cuando falla el seguimiento de IP en ethernet2, el dispositivo NetScreen realiza las sigu1.1 Cambio de ruta : el dispositivo NetScreen desactiva todas las rutas que utilicen e

conduce a 2.2.2.2 y que pasa por ethernet2 y la puerta de enlace 1.1.1.254 por otrpuerta de enlace 1.1.2.254.

1.2 Actualización de sesiones : el dispositivo NetScreen analiza la tabla de sesionesque utilicen ethernet2 y las redirecciona a través de ethernet3 hacia la puerta de e

2. Es posible que las peticiones procedentes del host B sigan llegando a ethernet2, o bien, las redirija a ethernet3. El dispositivo NetScreen realiza una consulta de sesiones y relacexistente.

3. Como está activado el comando set arp always-on-dest , el dispositivo NetScreen realirespuesta del host A y la envía a través de ethernet3 a la puerta de enlace en 1.1.2.254.

Actualización de sesiones

1

Cambio de ruta


Respondedor

3


106

edeterminada), el dispositivo n caché cuando el host B envió tas de sesión a través de avés del dispositivo NetScreen.

es tareas:rnet2. Sustituye la ruta que conduce a por ethernet3 y la puerta de enlace

busca de todas las entradas que .1.2.254. Sin embargo, como el en 1.1.1.254, continúa utilizando

ivo NetScreen realiza una consulta t1 al host A en 10.1.1.5.a la puerta de enlace en 1.1.1.254. necerá inalterada en la tabla de

Untrust

Host B2.2.2.2

Seguimiento de IP desde ethernet2 incorrecto .

4

ertas de enlace:1.1.1.2541.1.2.254

Iniciador


Si está activado el comando unset arp always-on-dest (que es la configuración prNetScreen utiliza la dirección MAC para la puerta de enlace en 1.1.1.1 que guardó eel paquete de sesión inicial. El dispositivo NetScreen continúa enviando las respuesethernet2. En este caso, el fallo de seguimiento de IP no afecta al flujo de datos a tr

Flujo de tráfico del host B al host A: el fallo de seguimiento de IP no dispara el redireccionamiento

1. Cuando falla el seguimiento de IP en ethernet2, el dispositivo NetScreen realiza las siguient1.1 Cambio de ruta : el dispositivo NetScreen desactiva todas las rutas que utilicen ethe

a 2.2.2.2 y que pasa por ethernet2 y la puerta de enlace 1.1.1.254 por otra ruta que pas1.1.2.254.

1.2 Actualización de sesiones : el dispositivo NetScreen analiza la tabla de sesiones enutilicen ethernet2 y las redirecciona a través de ethernet3 hacia la puerta de enlace 1dispositivo NetScreen ha guardado en caché la dirección MAC de la puerta de enlacedicha dirección MAC para las respuestas procedentes del host A.

2. Es posible que las peticiones procedentes del host B sigan llegando a ethernet2. El dispositde sesiones, relaciona el paquete con una sesión existente y lo reenvía a través de etherne

3. Cuando el host A responde, el dispositivo NetScreen reenvía la respuesta desde ethernet2 Puesto que el comando set arp always-on-dest no está activado, la dirección MAC permasesiones desde la creación inicial de la entrada.

Host A10.1.1.5

Zona Trust Zona

10.1.1.0/24


10.1.1.1/24



1

2

3


Pu

Respondedor

4

107

Capítulo 4

s de red (NAT), modo de ruta de capa 3 (“Layer 3”) tiene una o Route. Una interfaz asociada v1-dmz, o una zona de capa 2 to se selecciona al configurar la

, el dispositivo NetScreen solamente ico destinado a ninguna zona que no do NAT, esto no activa ninguna


Modos de las interfaces

Las interfaces pueden funcionar en tres modos diferentes: Traducción de direccione(“Route”) y modo transparente (“Transparent”). Si una interfaz asociada a una zonadirección IP, el modo de funcionamiento de esa interfaz se puede definir como NAT1

a una zona de capa 2 (“Layer 2”) (como las zonas predefinidas v1-trust, v1-untrust ydefinida por el usuario) debe estar en modo transparente. El modo de funcionamieninterfaz.

Este capítulo contiene las siguientes secciones:

• “Modo transparente” en la pàgina 108

– “Ajustes de zona” en la pàgina 109

– “Reenvío de tráfico” en la pàgina 110

– “Opciones “unicast” desconocidas” en la pàgina 112

• “Modo NAT” en la pàgina 127

– “Tráfico NAT entrante y saliente” en la pàgina 129

– “Ajustes de interfaz” en la pàgina 130

• “Modo de ruta” en la pàgina 135

– “Ajustes de interfaz” en la pàgina 136

1. Aunque se puede definir el modo de funcionamiento de una interfaz asociada a cualquier zona de capa 3 como NATaplicará NAT al tráfico que pase por esa interfaz en dirección hacia la zona Untrust. NetScreen no aplica NAT al tráfsea la zona Untrust. Asimismo, observe que aunque NetScreen permite poner una interfaz de la zona Untrust en mooperación de NAT.

Capítulo 4 Modos de las interfaces Modo transparente

108

quetes que atraviesan el o de los paquetes IP. Todas las creen actuando en gran medida iones IP de las interfaces se ansparente”) a los usuarios.

alquier otra clase de servidor tiene las siguientes ventajas:

vidores protegidos

el tráfico entrante llegue a los

0.5

Zona Trust

Zona Untrust


MODO TRANSPARENTECuando una interfaz está en modo transparente, el dispositivo NetScreen filtra los pacortafuegos sin modificar ninguna información de origen ni de destino en el encabezadinterfaces se comportan como si fuesen parte de la misma red, con el dispositivo NetScomo conmutador o puente de capa 2 (“Layer 2”). En el modo transparente, las direccestablecen en 0.0.0.0, haciendo que el dispositivo NetScreen parezca “invisible” (o “tr

El modo transparente es un medio muy práctico para proteger servidores web, o cuque reciba principalmente tráfico de fuentes no fiables. Utilizar el modo transparente

• Elimina la necesidad de reconfigurar los ajustes IP de los enrutadores y ser

• Elimina la necesidad de crear direcciones IP asignadas o virtuales para queservidores protegidos

Enrutador externo

Espacio de direcciones público

Conmutador

209.122.30.1

209.122.30.2209.122.30.3

209.122.30.4

209.122.3

A Internet


109

s zonas de seguridad L2:

y las mismas posibilidades de en modo transparente, utiliza uede configurar la interfaz ministrar el dispositivo. Para d que los hosts de las zonas de

encia sobre la IP de la interfaz inistrativo y dedicar la IP de la

ust, V1-Untrust y V1-DMZ. interfaz en una de las zonas, nas L2. Para poder subred.

o transparente se utiliza la tivo pueda alcanzar la interfaz

VLAN1 y en la(s) zona(s) que dministración están habilitadas el dispositivo, debe establecer

cada plataforma NetScreen,


Ajustes de zonaDe forma predeterminada, ScreenOS crea una zona de función, la zona VLAN, y treV1-Trust, V1-Untrust y V1-DMZ.

Zona VLANLa zona VLAN contiene la interfaz VLAN1, que tiene la misma configuraciónadministración que una interfaz física. Cuando el dispositivo NetScreen estála interfaz VLAN1 para administrar el dispositivo y terminar el tráfico VPN. PVLAN1 para permitir que los hosts en las zonas de seguridad L2 puedan adello, debe establecer la dirección IP de la interfaz VLAN1 en la misma subreseguridad L2.

Para el tráfico administrativo, la IP de administración de VLAN1 tiene preferVLAN1. Puede reservar la IP de administración de VLAN1 para el tráfico adminterfaz VLAN1 solamente a la terminación del túnel VPN.

Zonas de capa 2 predefinidasScreenOS proporciona tres zonas de seguridad L2 predeterminadas: V1-TrEstas tres zonas comparten el mismo dominio L2. Cuando se configura unase agrega al dominio L2 compartido por todas las interfaces en todas las zocomunicarse, todos los hosts de las zonas L2 deben pertenecer a la misma

Según se describe en la sección anterior, cuando el dispositivo está en modinterfaz VLAN1 para administrar el dispositivo. Para que el tráfico administraVLAN1, es necesario habilitar las opciones de administración en la interfaz atravesará dicho tráfico. De forma predeterminada, todas las opciones de aen la zona V1-Trust. Para que los hosts de otras zonas puedan administrar esas mismas opciones en las zonas a las que pertenezcan.

Nota: Para ver qué interfaces físicas están preasociadas a las zonas L2 deconsulte el manual del instalador de cada plataforma.


110

ingún tráfico interzonal ni er más información sobre cómo na directiva en el dispositivo

s destinatarios) y “broadcast” ispositivo NetScreen puede g Tree Protocol”.

el tráfico IPSec.

a:

ulticast” y “broadcast”, ejecute

ivo, ejecute el comando set

ente en bloquear todo el tráfico ypass-non-ip.

empre sobrescribe al comando n el archivo de configuración. 1 bypass-non-ip-all y ahora

, consistente en bloquear mero el comando set interface se por el dispositivo. A ss-non-ip para bloquear


Reenvío de tráficoLos dispositivos NetScreen que operan en la capa 2 (“Layer 2” o “L2”) no permiten nintrazonal a menos que haya una directiva configurada en el dispositivo. Para obtenestablecer directivas, consulte “Directivas” en la pàgina 305. Una vez configurada uNetScreen, hace lo siguiente:

• Permite o deniega el tráfico especificado en la directiva

• Permite el tráfico ARP y L2 que no es IP “multicast” (de un emisor a múltiple(de múltiples emisores a múltiples destinatarios). Desde ese momento, el drecibir y transmitir tráfico “broadcast” L2 para el protocolo en árbol “Spannin

• Continúa bloqueando todo el tráfico “unicast” que no es IP ni ARP, así como

El comportamiento de reenvío del dispositivo se puede modificar de la siguiente form

• Para bloquear todo el tráfico L2 que no es IP ni ARP, incluyendo el tráfico “mel comando unset interface vlan1 bypass-non-ip-all.

• Para permitir que todo el tráfico L2 que no es IP pueda pasar por el dispositinterface vlan1 bypass-non-ip.

• Para restablecer el comportamiento predeterminado del dispositivo, consist“unicast” que no es IP ni ARP, ejecute el comando unset interface vlan1 b

– Observe que el comando unset interface vlan1 bypass-non-ip-all siunset interface vlan1 bypass-non-ip cuando ambos se encuentran ePor lo tanto, si anteriormente ejecutó el comando unset interface vlandesea que el dispositivo recupere su comportamiento predeterminadoúnicamente el tráfico “unicast” que no es IP ni ARP, deberá ejecutar privlan1 bypass-non-ip para permitir que todo el tráfico que no es IP pacontinuación, deberá ejecutar el comando unset interface vlan1 bypasolamente el tráfico unicast que no es IP ni ARP.


111

r terminarlo, utilice el comando á entonces que el tráfico IPSec

ere rutas para dos fines: dirigir espués de encapsularlo o


• Para permitir que un dispositivo NetScreen transmita tráfico IPSec sin intentaset interface vlan1 bypass-others-ipsec. El dispositivo NetScreen permitirpase a través de otros puntos terminales de la VPN.

Nota: Un dispositivo NetScreen con interfaces en modo transparente requiel tráfico autogenerado, como las capturas SNMP, y reenviar tráfico VPN ddesencapsularlo.


112

asociada a la dirección IP de n Protocol” o “ARP”) para sto de dispositivos de la misma ificada que devuelva una sitivo que responde. Cuando

ión IP de destino y, al no ser la a devolverá un mensaje arp-r. una dirección MAC, almacena

nte, el dispositivo analiza la irección MAC. De hecho, el do las direcciones MAC de en su tabla de reenvíos.

tre zonas a menos que haya o el dispositivo reenvia tráfico


Opciones “unicast” desconocidasCuando un host o cualquier clase de dispositivo de red desconoce la dirección MACotro dispositivo, utiliza el protocolo de resolución de direcciones (“Address Resolutioobtenerla. El solicitante difunde mediante “broadcast” una consulta ARP (arp-q) al resubred. La consulta arp-q solicita al dispositivo con la dirección IP de destino especrespuesta ARP (arp-r), lo que proporcionará al solicitante la dirección MAC del dispolos demás dispositivos de la subred reciben la consulta arp-q, comprueban la direccsuya, descartan el paquete. Sólo el dispositivo que tenga la dirección IP especificadCuando un dispositivo ha establecido una correspondencia entre una dirección IP yla información en su caché de ARP.

A medida que el tráfico ARP atraviesa un dispositivo NetScreen en modo transparedirección MAC de origen en cada paquete y memoriza qué interfaz conduce a esa ddispositivo NetScreen aprende qué interfaz conduce a qué dirección MAC observanorigen en todos los paquetes que recibe. A continuación, almacena esta información

Nota: Un dispositivo NetScreen en modo transparente no permite ningún tráfico enuna directiva configurada en el dispositivo. Para obtener más información sobre cómcuando está en modo transparente, consulte “Reenvío de tráfico” en la pàgina 110.


113

e destino tomada de su caché . Por ejemplo, el dispositivo podría haber borrado la tabla odo transparente recibe un uede tomar una de estas dos

está permitido enviar el tráfico las interfaces asociadas a esas opción “Flood”, que está

aquetes “trace-route”, que son as interfaces (excepto por la r cualquier interfaz que reciba AC coincida con la dirección ositivo NetScreen descubrir la cente.

utadores (“switches”) de la AC y sus puertos asociados a través de la cual el con una nueva dirección MAC tabla de reenvíos. También desconocida para el excepción de la interfaz por la ) y la interfaz correspondiente

o porque el dispositivo te inicial) saliendo por todas


Puede ocurrir que un dispositivo envíe un paquete unicast con una dirección MAC dARP, pero que el dispositivo NetScreen no tenga registrada en su tabla de reenvíosNetScreen borra su tabla de reenvíos cada vez que se reinicia. (También el usuariode reenvíos con el comando CLI clear arp.) Cuando un dispositivo NetScreen en mpaquete unicast para el cual no contiene ninguna entrada en su tabla de reenvíos, pdecisiones:

• Después de realizar una consulta de directivas para determinar a qué zonasprocedente de la dirección de origen, inundar el paquete inicial saliendo por zonas y seguir utilizando la interfaz que reciba una respuesta. Se trata de lahabilitada de forma predeterminada.

• Descartar el paquete inicial, inundar con consultas ARP (y, opcionalmente, ppeticiones de eco ICMP con el valor “time-to-live” en 1) saliendo por todas linterfaz por la que entró el paquete) y enviar los paquetes subsiguientes pouna respuesta ARP (o trace-route) del enrutador o del host cuya dirección MMAC de destino en el paquete inicial. La opción “trace-route” permite al dispdirección MAC de destino cuando ésta se encuentre en una subred no adya

Método de inundaciónEl método de inundación reenvía paquetes del mismo modo que la mayoría de conmcapa 2. Un conmutador mantiene una tabla de reenvíos que contiene direcciones Mpara cada dominio de capa 2. La tabla también contiene la interfaz correspondienteconmutador puede reenviar tráfico a cada dispositivo. Cada vez que un paquete llegade origen en su encabezado de trama, el conmutador agrega la dirección MAC a sudetecta a través de qué interfaz llegó el paquete. Si la dirección MAC de destino es conmutador, éste duplica el paquete y lo inunda saliendo por todas las interfaces (aque llegó el paquete). Memoriza la dirección MAC (desconocida hasta ese momentocuando recibe una respuesta con esa dirección MAC en una de sus interfaces.

Nota: De los dos métodos (“flood” y “ARP/trace-route”), ARP es más segurNetScreen inunda con preguntas ARP y paquetes trace-route (no el paquelas interfaces.


114

a de Ethernet con una NetScreen, inunda el

cidos, ejecute cualquiera de

broadcast”), seleccione

NetScreen inunda el paquete saliendo por ethernet4, pero no recibe ninguna respuesta.

NetScreen inunda el paquete saliendo por ethernet3. Cuando recibe una respuesta, hace lo siguiente:• Memoriza qué interfaz

conduce a la dirección MAC especificada

• Almacena el registro (o tupla) MAC/interfaz en su tabla de reenvíos

• Sigue utilizando ethernet3 durante el resto de la sesión


Cuando se habilita el método de inundación y el dispositivo NetScreen recibe una tramdirección MAC de destino que no figura en la tabla de direcciones MAC del dispositivo paquete saliendo por todas las interfaces.

Para habilitar el método de inundación para el tratamiento de paquetes unicast desconolos siguientes procedimientos:

WebUI

Network > Interface > Edit (para VLAN1): Para las opciones de multidifusión (“ Flood y haga clic en OK .

CLI

set interface vlan1 broadcast floodsave

El paquete llega a ethernet1.

NetScreen inunda el paquete saliendo por ethernet2, pero no recibe ninguna respuesta.

ZonaL2-Finance

Zona V1-Trust

ZonaV1-DMZ

Zona V1-Untrust

Espacio dedirecciones

común

Enrutador

Enrutador

Enrutador

Método de inundación ethernet1IP 0.0.0.0/0

ethernet4IP 0.0.0.0/0




115

en recibe una trama de ositivo NetScreen realiza la

cial (y, si aún no está, agrega s).

ace-route (una petición de sos paquetes saliendo por tes arp-q y las peticiones de tino del paquete inicial. Para rigen del paquete inicial con aquete inicial con ffff.ffff.ffff. C de origen y de destino del

sts”.

e la dirección IP3 de entrada, así la interfaz a través de la . (Consulte “Método ARP” en

más allá de la subred de la rutador que conduce al ivo NetScreen debe reenviar a 118).

r el método ARP sin la opción o para un paquete unicast si dicha ión IP de entrada, consulte la nota

Screen. Este dispositivo puede ser

positivo NetScreen compara la enrutador dirigirse, y por lo tanto,


Método ARP/Trace-RouteCuando se habilita el método ARP con la opción “trace-route”2 y el dispositivo NetScreEthernet con una dirección MAC de destino que no consta en su tabla de MAC, el dispsiguiente serie de acciones:

1. El dispositivo NetScreen detecta la dirección MAC de destino en el paquete inila dirección MAC de origen y su interfaz correspondiente a la tabla de reenvío

2. El dispositivo NetScreen descarta el paquete inicial.

3. El dispositivo NetScreen genera dos paquetes: la consulta ARP (arp-q) y un treco ICMP, o PING) con un valor 1 en el campo “time-to-live” (TTL), e inunda etodas las interfaces excepto por la que llegó el paquete inicial. Para los paqueeco ICMP, el dispositivo NetScreen utiliza las direcciones IP de origen y de deslos paquetes arp-q, el dispositivo NetScreen reemplaza la dirección MAC de ola dirección MAC para VLAN1, y reemplaza la dirección MAC de destino del pPara la opción “trace-route”, el dispositivo NetScreen utiliza las direcciones MApaquete inicial en las peticiones de eco ICMP que difunde mediante “broadca

Si la dirección IP de destino pertenece a un dispositivo en la misma subred quel host devuelve una respuesta ARP (arp-r) con su dirección MAC, indicando cual el dispositivo NetScreen debe reenviar el tráfico destinado a esa direcciónla pàgina 117).

Si la dirección IP de destino pertenece a un dispositivo en una subred situadadirección IP de entrada, trace-route devuelve las direcciones IP y MAC del endestino4 y, aún más importante, indica la interfaz a través de la cual el dispositel tráfico destinado a esa dirección MAC. (Consulte “Trace-Route” en la pàgin

2. Cuando se habilita el método ARP, la opción “trace-route” se habilita de forma predeterminada. También puede habilita“trace-route”. Sin embargo, este método solamente permite al dispositivo NetScreen descubrir la dirección MAC de destindirección se encuentra en la misma subred que la dirección IP de entrada. (Para obtener más información sobre la direccal pie de la página siguiente).

3. La dirección IP de entrada hace referencia a la dirección IP del último dispositivo que envió el paquete al dispositivo Netel origen que envió el paquete o un enrutador que lo reenvió.

4. De hecho, “trace-route” devuelve las direcciones IP y MAC de todos los enrutadores en la subred. A continuación, el disdirección MAC de destino del paquete inicial con la dirección MAC de origen en los paquetes arp-r para determinar a quéqué interfaz utilizar para alcanzar ese destino.


116

interfaz que conduce a esa la de reenvíos.

todos los paquetes que reciba

dos, ejecute cualquiera de los

(“broadcast”), seleccione ARP

esea utilizar ARP sin la opción dcast arp trace-route . Este ccionado para tratar los


4. Combinando la dirección MAC de destino obtenida del paquete inicial con ladirección MAC, el dispositivo NetScreen agrega una nueva entrada a su tab

5. El dispositivo NetScreen reenvía a su destino a través de la interfaz correctaposteriormente.

Para habilitar el método ARP/trace-route para tratar los paquetes unicast desconocisiguientes procedimientos:

WebUI

Network > Interface > Edit (para VLAN1): Para las opciones de multidifusióny haga clic en OK .

CLI

set interface vlan1 broadcast arpsave

Nota: De forma predeterminada, la opción “trace-route” está habilitada. Si d“trace-route”, introduzca el comando siguiente: unset interface vlan1 broacomando desactiva la opción “trace-route”, pero no ARP como método selepaquetes unicast desconocidos.


117

AC de destino cuando la

ZonaV1-DMZ

Zona V1-Untrust


común

Enrutador B210.1.1.200

00dd.11dd.11dd

Enrutador A210.1.1.100

00cc.11cc.11cc

49ce

ethernet30.0.0.0/0

0010.db15.39ce

ethernet40.0.0.0/0

0010.db15.39ce


La ilustración siguiente muestra cómo el método ARP puede localizar la dirección Mdirección IP de destino se encuentra en una subred adyacente.

Si el paquete siguiente

ethernet10.0.0.0/0

0010.db15.39ce

ZonaL2-Finance

Zona V1-Trustllega a ethernet1 y la tabla de reenvíos no contiene una entrada para la dirección MAC 00bb.11bb.11bb, el dispositivo NetScreen inunda el siguiente paquete arp-q saliendo por eth2, eth3 y eth4.

Trama Ethernet Datagrama IP

dest orig tipo orig dest

11bb 11aa 0800 210.1.1.5 210.1.1.75

Trama Ethernet Mensaje ARP


ffff 39ce 0806 210.1.1.5 210.1.1.75

Cuando el dispositivo NetScreen recibe el siguiente arp-r en eth2,Trama Ethernet Mensaje ARP


39ce 11bb 0806 210.1.1.75 210.1.1.5

podrá asociar la dirección MAC a la interfaz que conduce hacia ella.

ethernet20.0.0.0/0

0010.db15.39ce

PC A210.1.1.5

00aa.11aa.11aa

PC B210.1.1.75

00bb.11bb.11bb

Nota: A continuación solamente se muestran los elementos relevantes del encabezado de los paquetes y los últimos cuatro dígitos de las direcciones MAC.

Método ARP VLAN1210.1.1.1/2

0010.db15.3


118

ción MAC de destino cuando la

ZonaV1-DMZ

Zona V1-Untrust


común

Servidor C195.1.1.5

00dd.22dd.22dd

Enrutador A210.1.1.100

00cc.11cc.11ccethernet40.0.0.0/00.db15.39ce

ador B.1.200dd.11dd

ethernet30.0.0.0/00.db15.39ce


La ilustración siguiente muestra cómo la opción “trace-route” puede localizar la direcdirección IP de destino se encuentra en una subred no adyacente.

Si el paquete siguiente

ZonaL2-Finance

Zona V1-Trustllega a ethernet1 y la tabla de reenvíos no contiene una entrada para la dirección MAC 00dd.11dd.11dd, el dispositivo NetScreen inunda el siguiente paquete trace-route saliendo por eth2, eth3 y eth4.

Trama Ethernet Datagrama IP


11dd 11aa 0800 210.1.1.5 195.1.1.5

Trama Ethernet Mensaje ICMP

dest orig tipo orig dest TTL

11dd 11aa 0800 210.1.1.5 195.1.1.5 1

Cuando el dispositivo NetScreen recibe la siguiente respuesta en eth3,

Trama Ethernet Mensaje ICMP

dest orig tipo orig dest msg

11aa 11dd 0800 210.1.1.200 210.1.1.5 UI message

puede ahora asociar la dirección MAC a la interfaz que conduce hacia ella.

Nota: A continuación solamente se muestran los elementos relevantes del encabezado de los paquetes y los últimos cuatro dígitos de las direcciones MAC.

Trace-Route

ethernet10.0.0.0/0

0010.db15.39ce

PC A210.1.1.5

00aa.11aa.11aa

VLAN1210.1.1.1/24

0010.db15.39ce

001

ethernet20.0.0.0/0

0010.db15.39ce

PC B210.1.1.75

00bb.11bb.11bb

Enrut210.1

00dd.11

001


119

erfaz VLAN1 como sigue:

ona de seguridad V1-Trust5.

de capa 2 están en el dominio re el dispositivo NetScreen y ata del dispositivo NetScreen. trust-vr.

2 (“Layer 2”), debe establecer zona de seguridad de capa 2.

guridad V1-Trust. En este ejemplo se mente no es necesario habilitarlas

Zona V1-Untrust

Internet


Ejemplo: Interfaz VLAN1 para administraciónEn este ejemplo configurará el dispositivo NetScreen para la administración a su int

• Asignará a la interfaz VLAN1 la dirección IP 1.1.1.1/24.

• Habilitará Web, Telnet, SSH y Ping tanto en la interfaz VLAN1 como en la z

• Agregará una ruta en el enrutador virtual trust (todas las zonas de seguridadde enrutamiento trust-vr) para permitir que el tráfico administrativo fluya entuna estación de trabajo administrativa situada más allá de la subred inmediTodas las zonas de seguridad se encuentran en el dominio de enrutamiento

Nota: Para administrar el dispositivo desde una zona de seguridad de capalas mismas opciones de administración para la interfaz VLAN1 que para la

5. De forma predeterminada, NetScreen habilita las opciones de administración para la interfaz VLAN1 y la zona de semuestran estas opciones habilitadas sólo con fines ilustrativos. A menos que las haya inhabilitado previamente, realmanualmente.

VLAN11.1.1.1/24

Enrutador interno1.1.1.2511.1.2.250

Estación de trabajo admin 1.1.2.5

Zona V1-Trust

1.1.1.0/24Subred

1.1.2.0/24Subred

Interfaz V1-Trustethernet10.0.0.0/0

Interfaz V1-Untrustethernet30.0.0.0/0


120

haga clic en OK :

seleccione)

aga clic en OK :



WebUI

1. Interfaz VLAN1Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y


Management Services: WebUI, Telnet, SSH (


2. Zona V1-TrustNetwork > Zones > Edit (para V1-Trust): Seleccione los siguientes datos y h

Management Services: WebUI, Telnet, SSH

Other Services: Ping

3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient



Interface: vlan1(trust-vr)


Metric: 1


121

eway 1.1.1.251 metric 1


CLI

1. Interfaz VLAN1set interface vlan1 ip 1.1.1.1/24set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage sshset interface vlan1 manage ping

2. Zona V1-Trustset zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage sshset zone v1-trust manage ping

3. Rutaset vrouter trust-vr route 1.1.2.0/24 interface vlan1 gatsave


122

r un dispositivo NetScreen en e la zona V1-Trust, servicios rvidor FTP.

o HTTP para la administración I de 23 a 4646. Utilizará la la zona de seguridad V1-Trust. ruta predeterminada al áfico VPN saliente6. (La puerta 1.250).

nsparente, consulte “VPN en modo

Internet

1-Untrust


Ejemplo: Modo transparenteEl ejemplo siguiente ilustra una configuración básica con una sola LAN protegida pomodo transparente. Las directivas permiten el tráfico saliente para todos los hosts dSMTP entrantes para el servidor de correo y servicios entrante FTP-GET para el se

Para aumentar la seguridad del tráfico administrativo, cambiará el número del puertde WebUI de 80 a 5555, y el número de puerto Telnet para la administración de CLdirección IP de VLAN1 (1.1.1.1/24) para administrar el dispositivo NetScreen desdeDefinirá direcciones para los servidores FTP y de correo. También configurará una enrutador externo en 1.1.1.250, para que el dispositivo NetScreen le pueda enviar trde enlace predeterminada en todos los hosts de la zona V1-Trust también será 1.1.

6. Para ver un ejemplo de configuración de un túnel VPN para un dispositivo NetScreen con las interfaces en modo tratransparente” en la pàgina 5 -221.

Enrutador externo1.1.1.250

IP de VLAN11.1.1.1/24

Mail_Server1.1.1.10

Zona V1-Trust Zona V

Interfaz V1-Trustethernet10.0.0.0/0

Interfaz V1-Untrustethernet30.0.0.0/0

1.1.1.0/24Espacio de direcciones

FTP_Server1.1.1.5


123

tes datos y haga clic en OK :

ione)

5557 y haga clic en Apply .



ga clic en OK :

evitar cualquier acceso no autorizado mpo “URL” de su explorador web:


WebUI

1. Interfaz VLAN1Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguien


Management Services: WebUI, Telnet (selecc


2. Puerto HTTPConfiguration > Admin > Management: En el campo “HTTP Port”, escriba 5

3. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Zone Name: V1-Trust



Zone Name: V1-Untrust


4. Zona V1-TrustNetwork > Zones > Edit (para v1-trust): Seleccione los siguientes datos y ha

Management Services: WebUI, Telnet

Other Services: Ping

7. El número de puerto predeterminado es 80. Se recomienda cambiarlo a cualquier número entre 1024 y 32.767 para a la configuración. Cuando se conecte posteriormente para administrar el dispositivo, introduzca lo siguiente en el cahttp://1.1.1.1:5555.


124

lic en OK :

lic en OK :



5. DireccionesObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: FTP_Server

IP Address/Domain Name:


Zone: V1-Trust

Objects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: Mail_Server



Zone: V1-Trust




Interface: vlan1(trust-vr)


Metric: 1


125

atos y haga clic en OK :


rver


rver


7. DirectivasPolicies > (From: V1-Trust, To: V1-Untrust) New: Introduzca los siguientes d

Source Address:




Service: Any

Action: Permit

Policies > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes d

Source Address:



Address Book Entry: (seleccione), Mail_Se

Service: Mail

Action: Permit

Policies > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes d

Source Address:



Address Book Entry: (seleccione), FTP_Se

Service: FTP-GET

Action: Permit


126

ay 1.1.1.250 metric 1

l permitget permit

67 para evitar cualquier acceso troduzca la siguiente dirección:


CLI

1. VLAN1set interface vlan1 ip 1.1.1.1/24set interface vlan1 manage webset interface vlan1 manage telnetset interface vlan1 manage ping

2. Telnetset admin telnet port 46468

3. Interfacesset interface ethernet1 ip 0.0.0.0/0set interface ethernet1 zone v1-trustset interface ethernet3 ip 0.0.0.0/0set interface ethernet3 zone v1-untrust

4. Zona V1-Trustset zone v1-trust manage webset zone v1-trust manage telnetset zone v1-trust manage ping

5. Direccionesset address v1-trust FTP_Server 1.1.1.5/32set address v1-trust Mail_Server 1.1.1.10/32

6. Rutaset vrouter trust-vr route 0.0.0.0/0 interface vlan1 gatew

7. Directivasset policy from v1-trust to v1-untrust any any any permitset policy from v1-untrust to v1-trust any Mail_Server maiset policy from v1-untrust to v1-trust any FTP_Server ftp-save

8. El número de puerto predeterminado para Telnet es 23. Se recomienda cambiarlo a cualquier número entre 1024 y 32.7no autorizado a la configuración. Cuando se conecte posteriormente para administrar el dispositivo a través de Telnet, in1.1.1.1 4646.

Capítulo 4 Modos de las interfaces Modo NAT

127

d (NAT), el dispositivo onentes del encabezado de un ro del puerto de origen. El dirección IP de la interfaz de la e puerto generado

mponentes del encabezado IP inversamente para obtener los u destino.

Zona Trust

Zona Untrust

faz de la a Trust.1.1/24

az de la Untrust.1.1/24


MODO NATCuando una interfaz de entrada está en el modo de traducción de direcciones de reNetScreen, actuando como conmutador (o enrutador) de capa 3, traduce dos comppaquete IP saliente destinado a la zona Untrust: su dirección IP de origen y el númedispositivo NetScreen reemplaza la dirección IP de origen del host de origen con la zona Untrust. También reemplaza el número del puerto de origen con otro número daleatoriamente por el dispositivo NetScreen.

Cuando el paquete de respuesta llega al dispositivo NetScreen, éste traduce dos codel paquete entrante: la dirección y el número de puerto del destino, que se traducennúmeros originales. Seguidamente, el dispositivo NetScreen reenvía el paquete a s

Espacio de direcciones privado

10.1.1.5

10.1.1.10 10.1.1.1510.1.1.20

10.1.1.25

Interzon10.1

Interfzona

1.1

Internet


Enrutador externo


128

ciones de los hosts que envían na Trust) nunca quedan zonas se encuentren en el terlocutores mediante un

zona Trust son solamente r ocultas las direcciones de la ust en trust-vr, y no exporte

l, las direcciones internas s directivas que configure direcciones IP virtuales (VIP) ecerán ocultas.

hay recursos disponibles para ios NAT permiten que muchas

de unas pocas, direcciones IP rivadas y no deben enrutarse


NAT agrega un nivel de seguridad no disponible con el modo transparente: Las directráfico a través de una interfaz de entrada en modo NAT (como una interfaz de la zoexpuestas a los hosts de la zona de salida (como la zona Untrust), salvo que ambasmismo dominio de enrutamiento virtual y el dispositivo NetScreen publique rutas a inprotocolo de enrutamiento dinámico (DRP). Incluso entonces, las direcciones de la accesibles si alguna directiva les permite recibir tráfico entrante. (Si desea mantenezona Trust mientras utilice un DRP, ponga la zona Untrust en untrust-vr y la zona Trrutas de direcciones internas de trust-vr a untrust-vr).

Si el dispositivo NetScreen utiliza el enrutamiento estático y sólo un enrutador virtuasiguen ocultas cuando el tráfico es saliente, debido a NAT basada en interfaces. Lacontrolarán el tráfico entrante. Si solamente utiliza direcciones IP asignadas (MIP) ycomo destinos en sus directivas de tráfico entrante, las direcciones internas perman

Asimismo, NAT preserva el uso de direcciones IP públicas. En muchos entornos, noproporcionar direcciones IP públicas para todos los dispositivos en la red. Los servicdirecciones IP privadas tengan acceso a los recursos de Internet a través de una, opúblicas. Los siguientes rangos de direcciones IP están reservados para redes IP phacia Internet:

10.0.0.0 – 10.255.255.255

172.16.0.0 – 172.31.255.255

192.168.0.0 – 192.168.255.255


129

puede iniciar tráfico hacia la creenOS 5.0.0, un host a menos que se configurara en ScreenOS 5.0.0, el tráfico la zona Untrust) no necesita tá utilizando direcciones PN para que el tráfico pueda privadas no son una cuestión ts que se encuentren detrás

” en la pàgina 7 -92. Para 7 -118.

Zonainida por el usuario

ethernet210.1.2.1/24Modo NAT

ethernet31.1.1.1/24

Modo de rutaIP 1.1.1.10 – 10.1.1.10IP 1.1.1.20 – 10.1.2.20


Tráfico NAT entrante y salienteUn host situado en una zona que envíe tráfico a través de una interfaz en modo NAT zona Untrust (asumiendo que alguna directiva lo permita). En versiones anteriores a Ssituado detrás de una interfaz en modo NAT no podía recibir tráfico de la zona Untrustpara él una dirección IP asignada (MIP), IP virtual (VIP) o un túnel VPN9. Sin embargo,hacia una zona con una interfaz habilitada para NAT desde cualquier zona (incluyendoutilizar una MIP, VIP o VPN. Si desea proteger la privacidad de las direcciones o si esprivadas inexistentes en una red pública como Internet, puede definir una MIP, VIP o Valcanzarlas. Sin embargo, si los posibles problemas de privacidad y las direcciones IP relevante, el tráfico procedente de la zona Untrust puede llegar directamente a los hosde una interfaz en modo NAT, sin necesidad de utilizar una MIP, VIP ni VPN.

9. Sólo se puede definir una dirección IP virtual (VIP) en una interfaz asociada a la zona Untrust.

Nota: Para obtener más información sobre MIPs, consulte “Direcciones IP asignadasobtener más información sobre VIPs, consulte “Direcciones IP virtuales” en la pàgina

LasMIPS son opcionales

Zona Untrust

Zona Trustdef


MM1

1. NAT basada en interfaces aplicada al tráfico de la zona Trust a la zona Untrust.

2. NAT basada en interfaces aplicada al tráfico de la zona definida por el usuario a la zona Untrust.(Nota: Esto sólo es posible si las zonas definida por el usuario y Untrust se encuentran en diferentes dominios de enrutamiento virtuales).

3. Sin NAT basada en interfaces aplicada al tráfico entre las zonas Trust y definida por el usuario.

4 y 5. Puede utilizar MIPs, VIPs o VPNs para que el tráfico procedente de la zona Untrust alcance la zona Trust o la zona definida por el usuario, pero no se requieren.

6. Las MIPs y VPNs tampoco se requieren para el tráfico entre las zonas Trust y definida por el usuario.

2

36

4 5

NAT NAT

Sin NATLas MIPS

sonopcionales


130

r2 representan los números de representa el número de una

año del ancho de banda en

terfaces de zona

rcionar una dirección IP para tración para tener acceso a

erfaz es de ruta.

ddr1k: maskag: vlan_id_numame: zoneseleccione)

, el dispositivo NetScreen no

ddr1k: maskag: vlan_id_numame: zone


Ajustes de interfazPara el modo NAT, defina los siguientes ajustes de interfaz, donde ip_addr1 y ip_adduna dirección IP, mask representa los números de una máscara de red, vlan_id_numetiqueta VLAN, zone representa el nombre de una zona y number representa el tamkbps:

Interfaces de zona Ajustes SubinZonas Trust, DMZ y definidas por el usuario que utilizan NAT

IP: ip_addr1Netmask: maskManage IP*: ip_addr2Traffic Bandwidth†: numberNAT‡: (seleccione)

* Puede establecer una dirección IP de administración en cada interfaz. Su finalidad principal es propoel tráfico administrativo separada del tráfico de red. También puede utilizar la dirección IP de adminisun dispositivo específico cuando se encuentre en una configuración de alta disponibilidad.

† Ajuste opcional para la asignación de tráfico.

‡ Al seleccionar NAT, el modo de interfaz se define como NAT. Al seleccionar Route, el modo de la int

IP: ip_aNetmasVLAN TZone NNAT†: (

Untrust**

** Aunque se puede seleccionar NAT como modo de interfaz en una interfaz asociada a la zona Untrustrealizará ninguna operación NAT en esa interfaz.

IP: ip_addr1Netmask: maskManage IP*: ip_addr2Traffic Bandwidth†: number

IP: ip_aNetmasVLAN TZone N


131

n la zona Trust. La LAN está saliente para todos los

se enruta al servidor de n en el dominio de

haga clic en Apply :

K:

n ya está habilitada para las

Internet

Zona Untrust


Ejemplo: Modo NAT

El siguiente ejemplo ilustra una configuración simple de una LAN con una sola subred eprotegida por un dispositivo NetScreen en modo NAT. Las directivas permiten el tráficohosts de la zona Trust y correo entrante para el servidor de correo. El correo entrante correo a través de una dirección IP virtual. Las dos zonas Trust y Untrust se encuentraenrutamiento trust-vr.

WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y

Zone Name: Trust

Static IP: (seleccione esta opción si es posible)


Introduzca los siguientes datos y haga clic en O

Interface Mode: NAT10

Nota: Compare este ejemplo con el del modo de ruta en la page 137.

10. De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estará en modo NAT. Por lo tanto, esta opcióinterfaces asociadas a la zona Trust.

Enrutador externo1.1.1.250

Mail ServerVIP 1.1.1.5 ->

10.1.1.5 ethernet110.1.1.1/24Modo NAT

ethernet31.1.1.1/24

Modo de rutaZona Trust


132

y haga clic en OK :

datos y haga clic en Add :

uzca los siguientes datos y

datos y haga clic en OK :

s de dirección IP y máscara de red one Obtain IP using PPPoE , haga

18.


Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos

Zone Name: Untrust


IP Address/Netmask11: 1.1.1.1/24

Interface Mode: Route

2. VIP12

Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca los siguientes

Virtual IP Address: 1.1.1.5

Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service: Introdhaga clic en OK :

Virtual Port: 25

Map to Service: Mail

Map to IP: 10.1.1.5

3. RutaNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguientes





11. Si la dirección IP de la zona Untrust del dispositivo NetScreen es asignada dinámicamente por un ISP, deje los campovacíos y seleccione Obtain IP using DHCP . Si el ISP utiliza el protocolo “Point-to-Point Protocol over Ethernet”, selecciclic en el vínculo Create new PPPoE settings e introduzca su nombre y contraseña.

12. Para obtener más información sobre direcciones IP virtuales (VIP), consulte “Direcciones IP virtuales” en la pàgina 7 -1


133

haga clic en OK :

y haga clic en OK :

1.5)


4. DirectivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: ANY

Action: Permit

Policies > (From: Untrust, To: Global) New: Introduzca los siguientes datos

Source Address:



Address Book Entry: (seleccione), VIP(1.1.

Service: MAIL

Action: Permit


134

gateway 1.1.1.250

permit

ndo siguiente: set interface untrust poe . Para obtener más información,


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat13

set interface ethernet3 zone untrust14 set interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route

2. VIPset interface ethernet3 vip 1.1.1.5 25 mail 10.1.1.5

3. Rutaset vrouter trust-vr route 0.0.0.0/0 interface ethernet3

4. Directivasset policy from trust to untrust any any any permitset policy from untrust to global any vip(1.1.1.5) mail save

13. El comando set interface ethernetn nat determina si el dispositivo NetScreen está funcionando en modo NAT.

14. Si la dirección IP de la zona Untrust del dispositivo NetScreen es asignada dinámicamente por un ISP, utilice el comadhcp . Si el ISP utiliza el protocolo “Point-to-Point Protocol over Ethernet”, utilice los comandos set pppoe y exec ppconsulte el manual NetScreen CLI Reference Guide.

Capítulo 4 Modos de las interfaces Modo de ruta

135

el tráfico entre diferentes ero de puerto en el

vo NetScreen. A diferencia de VIP) para permitir que llegue e ruta. A diferencia del modo

el nivel de interfaz para que ción IP de la interfaz de la zona vas. Puede determinar qué

Zona Trust

Zona Untrust

az de la Trust

2.1/24

az de la Untrust1.1/24


MODO DE RUTA

Cuando una interfaz está en modo de ruta (“Route”), el dispositivo NetScreen enrutazonas sin ejecutar NAT de origen (NAT-src); es decir, la dirección de origen y el númencabezado del paquete IP permanecen invariables mientras atraviesan el dispositiNAT-src, no es necesario establecer direcciones IP asignadas (MIP) e IP virtuales (tráfico entrante a los hosts cuando la interfaz de la zona de destino está en modo dtransparente, las interfaces de cada zona se encuentran en subredes diferentes.

No es necesario aplicar la traducción de direcciones de red de origen (“NAT-src”) entodas las direcciones de origen que inician tráfico saliente sean traducidas a la direcde destino. En lugar de ello, puede aplicar NAT-src selectivamente a nivel de directi

1.2.2.5

1.2.2.10 1.2.2.151.2.2.20

1.2.2.25

Interfzona1.2.

Interfzona

1.1.

Internet


Espacio de direcciones público Enrutador

externo


136

T-src para las direcciones de AT puede utilizar la dirección

micas (DIP), que se encuentra puede utilizar la dirección IP de

addr2 representan los números num representa el número de tamaño del ancho de banda en

ctivas, consulte “Traducción de

terfaces de zona

rcionar una dirección IP para tración para tener acceso a

nterfaz queda definido

ddr1k: máscaraag: vlan_id_numame: zone: (seleccione)


tráfico enrutar y a qué tráfico aplicar NAT-src creando las directivas que habilitan NAorigen especificadas tanto en tráfico entrante como saliente. Para el tráfico de red, NIP (o direcciones IP) de la interfaz de la zona de destino de un conjunto de IPs dináen la misma subred que la interfaz de la zona de destino. Para el tráfico VPN, NAT una interfaz de túnel o una dirección de su conjunto de DIP asociado.

Ajustes de interfazPara el modo de ruta, defina los siguientes ajustes de interfaz, donde ip_addr1 y p_de una dirección IP, mask representa los números de una máscara de red, vlan_id_una etiqueta VLAN, zone representa el nombre de una zona y number representa elkbps:

Nota: Para obtener más información sobre cómo configurar NAT-src basada en diredirecciones de red de origen” en la pàgina 7 -15.

Interfaces de zona Ajustes SubinTrust, Untrust, DMZ y zonas definidas por el usuario

IP: ip_addr1Netmask: máscaraManage IP*: ip_addr2Traffic Bandwidth†: numberRoute‡: (seleccione)

* Puede establecer una dirección IP de administración en cada interfaz. Su finalidad principal es propoel tráfico administrativo separada del tráfico de red. También puede utilizar la dirección IP de adminisun dispositivo específico cuando se encuentre en una configuración de alta disponibilidad.

† Ajuste opcional para la asignación de tráfico.

‡ Al seleccionar Route, la interfaz queda definida en modo de ruta. Al seleccionar NAT, el modo de la icomo NAT.

IP: ip_aNetmasVLAN TZone NRoute†


137

e la zona Trust tienen l ejemplo siguiente, la misma rve que los hosts tienen bas zonas de seguridad se

y haga clic en Apply :

)

OK :

o entrante o saliente de la zona Trust.

rno

Internet

Zona Untrust


Ejemplo: Modo de rutaEn el ejemplo anterior, “Ejemplo: Modo NAT” en la pàgina 131, los hosts en la LAN ddirecciones IP privadas y una dirección IP asignada para el servidor de correo. En ered está protegida por un dispositivo NetScreen que funciona en modo de ruta; obsedirecciones IP públicas y que no se requiere una MIP para el servidor de correo. Amencuentran en el dominio de enrutamiento trust-vr.

WebUI

1. InterfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos

Zone Name: Trust

Static IP: (seleccione esta opción si es posible


Introduzca los siguientes datos y haga clic en

Interface Mode: Route15

15. Seleccionando Route se determina que el dispositivo NetScreen funcione en el modo de ruta, sin aplicar NAT al tráfic

Enrutador exte1.1.1.250

Mail Server1.2.2.5

ethernet11.2.2.1/24

Modo de ruta

ethernet31.1.1.1/24

Modo de rutaZona Trust


138


e)

lic en OK :


pos de dirección IP y máscara de red cione Obtain IP using PPPoE , haga



Zone Name: Untrust


IP Address/Netmask16: 1.1.1.1/24

2. DirecciónObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: Mail Server



Zone: Trust






16. Si la dirección IP de la zona Untrust del dispositivo NetScreen es asignada dinámicamente por un ISP, deje los camvacíos y seleccione Obtain IP using DHCP . Si el ISP utiliza el protocolo “Point-to-Point Protocol over Ethernet”, selecclic en el vínculo Create new PPPoE settings e introduzca su nombre y contraseña.


139

haga clic en OK :

haga clic en OK :

ver



Source Address:




Service: ANY

Action: Permit

Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y

Source Address:



Address Book Entry: (seleccione), Mail Ser

Service: MAIL

Action: Permit


140

gateway 1.1.1.250

rmit

.


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 1.2.2.1/24set interface ethernet1 route17

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route

2. Direcciónset address trust mail_server 1.2.2.5/24


4. Directivasset policy from trust to untrust any any any permitset policy from untrust to trust any mail_server mail pesave

17. El comando set interface ethernet number route establece que el dispositivo NetScreen funcione en modo de ruta

5

141

Capítulo 5

tivas

hacerse referencia en las

160

àgina 163

na 169

la pàgina 200

ina 271


Bloques para la construcción de direc

Este capítulo explica los componentes, o bloques de construcción, a los que puededirectivas. Los temas tratados son:

• “Direcciones” en la pàgina 143

– “Entradas de direcciones” en la pàgina 144

– “Grupos de direcciones” en la pàgina 146

• “Servicios” en la pàgina 151

– “Servicios predefinidos” en la pàgina 151

– “Servicios personalizados” en la pàgina 153

– “Tiempos de espera de servicios” en la pàgina 156

– “Servicios ICMP” en la pàgina 158

– “RSH ALG” en la pàgina 160

– “Sun Remote Procedure Call Application Layer Gateway” en la pàgina

– “Microsoft Remote Procedure Call Application Layer Gateway” en la p

– “Real Time Streaming Protocol Application Layer Gateway” en la pàgi

– “Protocolo H.323 para “Voice-over-IP”” en la pàgina 181

– “Protocolo de inicio de sesión (“Session Initiation Protocol” o “SIP”)” en

– “SIP con traducción de direcciones de red (NAT)” en la pàgina 215

– “Administración del ancho de banda para servicios de VoIP” en la pàg

– “Grupos de servicios” en la pàgina 274

Capítulo 5 Bloques para la construcción de directivas

142

nsulte el Volumen 8,


• “Conjuntos de DIP” en la pàgina 278

– “Direcciones DIP “sticky”” en la pàgina 281

– “Interfaz extendida y DIP” en la pàgina 282

– “Interfaz de bucle invertido ("loopback") y DIP” en la pàgina 291

– “Grupos de DIP” en la pàgina 297

• “Tareas programadas” en la pàgina 301

Nota: Para obtener más información sobre la autenticación de usuarios, co“Autenticación de usuarios”.

Capítulo 5 Bloques para la construcción de directivas Direcciones

143

n su ubicación y máscara de

cara de red debe tener el valor

55.0 o 255.255.0.0).

és de un túnel desde y hacia n las listas de direcciones de

plica automáticamente a todos


DIRECCIONESNetScreen ScreenOS clasifica las direcciones de todos los demás dispositivos segúred. Cada zona posee su propia lista de direcciones y sus grupos de direcciones.

Los hosts individuales solamente tienen definida una dirección IP, por lo que su más255.255.255.255 (que enmascara todos los hosts salvo el propio).

Las subredes tienen una dirección IP y una máscara de red (por ejemplo, 255.255.2

Para poder configurar directivas que permitan, rechacen o canalicen el tráfico a travdeterminados hosts y subredes, es necesario crear las correspondientes entradas eNetScreen, que están organizadas por zonas.

Nota: Para “Any” no es necesario crear entradas de direcciones. Este término se alos dispositivos situados físicamente dentro de sus zonas respectivas.


144

NetScreen, de VPN y de cciones. La lista de direcciones s hosts o subredes cuyo tráfico

24 como dirección en la zona

ga clic en OK :

ga clic en OK :

et

Screen para los servicios del sistema DNS, consulte “Compatibilidad con

creenOS (aplicables a los conjuntos de caracteres” en la


Entradas de direccionesPara poder establecer muchas de las opciones de configuración del cortafuegos deasignación del tráfico, es necesario definir direcciones en unas o varias listas de direde una zona de seguridad contiene las direcciones IP o nombres de dominios1 de loestá permitido, bloqueado, encriptado o autenticado por el usuario.

Ejemplo: Agregar direccionesEn este ejemplo agregará la subred “Sunnyvale_Eng” con la dirección IP 10.1.10.0/Trust, y la dirección “www.juniper.net” como dirección en la zona Untrust.

WebUI

Objects > Addresses > List > New: Introduzca la siguiente información y ha

Address Name: Sunnyvale_Eng



Zone: Trust

Objects > Addresses > List > New: Introduzca la siguiente información y ha

Address Name: Juniper


Domain Name: (seleccione), www.juniper.n

Zone: Untrust

1. Para poder utilizar nombres de dominios para las entradas de direcciones, es necesario configurar el dispositivo Netde nombres de dominios (“Domain Name System” o “DNS”). Para obtener más información sobre la configuración deDNS (sistema de nombres de dominio)” en la pàgina 377.

Nota: Para obtener más información sobre las convenciones de nomenclatura de Snombres creados para las direcciones), consulte “Convenciones de nomenclatura ypàgina xiv.


145

e este departamento está .0/24).

la dirección IP por los

irectiva, no podrá cambiar la ación, primero debe


CLI

set address trust Sunnyvale_Eng 10.1.10.0/24set address untrust Juniper www.juniper.netsave

Ejemplo: Modificar direccionesEn este ejemplo cambiará la entrada de la dirección “Sunnyvale_Eng” para reflejar qudedicado específicamente a la ingeniería de software y tiene otra dirección IP (10.1.40

WebUI

Objects > Addresses > List > Edit (para Sunnyvale_Eng): Cambie el nombre ysiguientes datos y haga clic en OK :

Address Name: Sunnyvale_SW_Eng



Zone: Trust

CLI

unset address trust Sunnyvale_Engset address trust Sunnyvale_SW_Eng 10.1.40.0/24save

Nota: Después de definir una dirección, o un grupo de direcciones, y asociarla a una dubicación de la dirección a otra zona (como de Trust a Untrust). Para cambiar su ubicdesvincularla de la directiva subyacente.


146

” para “Sunnyvale_SW_Eng”.

libreta de direcciones cciones a una lista de de dirección. NetScreen tradas de direcciones, puede licarán a todas las entradas de

nes


Ejemplo: Eliminar direccionesEn este ejemplo eliminará la entrada de la dirección “Sunnyvale_SW_Eng”.

WebUIObjects > Addresses > List: Haga clic en Remove en la columna “Configure

CLIunset address trust “Sunnyvale_SW_Eng”save

Grupos de direccionesEn la sección anterior se explica cómo crear, modificar y eliminar las entradas en lacorrespondientes a los diferentes hosts y subredes. Según se vayan agregando diredirecciones, se hará más difícil controlar cómo las directivas afectan a cada entradapermite crear grupos de direcciones. En lugar de administrar un gran número de enadministrar un pequeño número de grupos. Los cambios que efectúe al grupo se apdirecciones que lo componen.

1 directiva por dirección 1 directiva por grupo de direccio


147

r grupos de direcciones vacíos

ciones igual que a una entrada

ente directivas individuales directiva para un grupo, en (así como para cada servicio

positivo NetScreen la elimina

tenezcan a la misma zona.

i se utiliza el nombre “Paris” re de grupo.

. No obstante, estos grupos

ica de forma individual a cada miembro en la lista de control o de recursos de directivas son grupos de direcciones y el

i “Dial-Up VPN” a grupos.

positivo NetScreen realiza una ro al grupo B, el dispositivo NetScreen

orra al usuario tener que crearlas una la ejecución de las consultas.


La opción de grupo de direcciones tiene las siguientes características:

• Puede crear grupos de direcciones en cualquier zona.

• Puede crear grupos de direcciones con los usuarios existentes, o bien creae introducir posteriormente los usuarios.

• Un grupo de direcciones puede ser miembro de otro grupo de direcciones2.

• En una directiva se puede hacer referencia a una entrada de grupo de direcindividual en la libreta de direcciones.

• NetScreen aplica las directivas a cada miembro del grupo creando internampara cada miembro del grupo. Aunque usted solamente tiene que crear unarealidad NetScreen crea una directiva interna para cada miembro del grupoconfigurado para cada usuario).3

• Cuando se elimina una entrada individual en la libreta de direcciones, el disautomáticamente de todos los grupos a los que perteneció.

Los grupos de direcciones tienen las siguientes limitaciones:

• Los grupos de direcciones solamente pueden contener direcciones que per

• Los nombres de direcciones no pueden coincidir con nombres de grupos. Spara una entrada de dirección individual, no se puede utilizar para un nomb

• No se pueden eliminar los grupos a los que se haga referencia en directivaspueden ser editados.

• Cuando se asigna una directiva individual a un grupo de direcciones, se aplmiembro del grupo, y el dispositivo NetScreen genera una entrada por cadade accesos (ACL). Si el usuario no está atento, se puede exceder el númerdisponibles, especialmente si tanto la dirección de origen como la de destinoservicio especificado es un grupo de servicios.

• No se pueden agregar las direcciones predefinidas: “Any”, “All Virtual IPs” n

2. Para asegurarse de que un grupo no esté “autocontenido” accidentalmente como miembro en su propio grupo, el discomprobación de coherencia cada vez que se incluye un grupo en otro. Por ejemplo, si agrega el grupo A como miembse asegura automáticamente de que A no contenga ya a B como miembro.

3. La forma automática en la que el dispositivo NetScreen aplica directivas a cada miembro del grupo de direcciones ahpor una para cada dirección. NetScreen incluso escribe estas directivas en ASIC, lo cual acelera considerablemente


148

las dos direcciones “Santa la zona Trust.

guiente nombre de grupo,

<< para trasladar la dirección umna “Group Members”.

ara trasladar la dirección de la “Group Members”.

Eng”


Ejemplo: Crear un grupo de direccionesEn el ejemplo siguiente creará un grupo denominado “HQ 2nd Floor” que contendráClara Eng” y “Tech Pubs”, que ya habrá introducido en la libreta de direcciones para

WebUI

Objects > Addresses > Groups > (para la zona: Trust) New: Introduzca el simueva las siguientes direcciones y haga clic en OK :

Group Name: HQ 2nd Floor

Seleccione Santa Clara Eng y utilice el botónde la columna “Available Members” a la col

Seleccione Tech Pubs y utilice el botón << pcolumna “Available Members” a la columna

CLI

set group address trust “HQ 2nd Floor” add “Santa Clara set group address trust “HQ 2nd Floor” add “Tech Pubs”save


149

reta de direcciones) al grupo de

loor”): Mueva la siguiente

a trasladar la dirección de la “Group Members”.


Ejemplo: Editar una entrada de grupo de direccionesEn este ejemplo agregará “Support” (una dirección que ya habrá introducido en la libdirecciones “HQ 2nd Floor”.

WebUI

Objects > Addresses > Groups > (para la zona: Trust) Edit (para “HQ 2nd Fdirección y haga clic en OK :

Seleccione Support y utilice el botón << parcolumna “Available Members” a la columna

CLI

set group address trust “HQ 2nd Floor” add Supportsave


150

loor” y eliminará “Sales”, un

: Mueva la siguiente dirección y

trasladar la dirección de la vailable Members”.

e en la columna “Configure”

yan eliminado todos los


Ejemplo: Eliminar un miembro y un grupoEn este ejemplo eliminará el miembro “Support” del grupo de direcciones “HQ 2nd Fgrupo de direcciones que previamente habrá creado.

WebUI

Objects > Addresses > Groups > (para la zona: Trust) Edit (“HQ 2nd Floor”)haga clic en OK :

Seleccione support y utilice el botón >> paracolumna “Group Members” a la columna “A

Objects > Addresses > Groups > (para la zona: Trust): Haga clic en Removpara “Sales”.

CLI

unset group address trust “HQ 2nd Floor” remove Supportunset group address trust Salessave

Nota: El dispositivo NetScreen no elimina automáticamente un grupo del que se hanombres.

Capítulo 5 Bloques para la construcción de directivas Servicios

151

da servicio tiene asociados un rto TCP nº 21 para FTP y el para ella. Puede seleccionar ado o grupo de servicios que lista desplegable Service de la

te en esta sección encontrará

163

9

gina 200

s de servicios en el dispositivo


SERVICIOSLos servicios son tipos de tráfico para los que existen estándares de protocolos. Caprotocolo de transporte y uno o varios números de puertos de destino, como el puepuerto TCP nº 23 para Telnet. Al crear una directiva se debe especificar un serviciouno de los servicios predefinidos del libro de servicios, o bien un servicio personalizhaya creado. Para consultar qué servicio puede utilizar en una directiva, visualice lapágina “Policy Configuration” (WebUI) o ejecute el comando get service (CLI).

Servicios predefinidosScreenOS es compatible con un gran número de servicios predefinidos. Más adelaninformación más detallada sobre algunos, a saber:

• “Servicios ICMP” en la pàgina 158

• “RSH ALG” en la pàgina 160

• “Sun Remote Procedure Call Application Layer Gateway” en la pàgina 160

• “Microsoft Remote Procedure Call Application Layer Gateway” en la pàgina

• “Real Time Streaming Protocol Application Layer Gateway” en la pàgina 16

• “Protocolo H.323 para “Voice-over-IP”” en la pàgina 181

• “Protocolo de inicio de sesión (“Session Initiation Protocol” o “SIP”)” en la pà

Puede visualizar la lista de servicios predefinidos o personalizados, o bien los grupoNetScreen mediante WebUI o CLI.

Mediante WebUI:

Objects > Services > Predefined

Objects > Services > Custom

Objects > Services > Groups


152

5, que abarca todo el conjunto a través de un puerto de origen distinto para cualquier servicio e “Servicios personalizados” en


Mediante CLI:

get service [ group | predefined | user ]

La respuesta del comando CLI get service pre-defined es similar a ésta:

Name Proto Port Group Time out (min) FlagANY 0 0/65535 other 1 Pre-defined

AOL 6 5190/5194 remote 30 Pre-defined

BGP 6 179 other 30 Pre-defined

DHCP-Relay 17 67 info seeking 1 Pre-defined

DNS 17 53 info seeking 1 Pre-defined

FINGER 6 79 info seeking 30 Pre-defined

FTP 6 21 remote 30 Pre-defined

FTP-Get 6 21 remote 30 Pre-defined

FTP-Put 6 21 remote 30 Pre-defined

GOPHER 6 70 info seeking 30 Pre-defined

H.323 6 1720 remote 2160 Pre-defined

--- more ---

Nota: Cada servicio predefinido tiene un rango de puertos de origen entre 1 y 6553de números de puerto válidos. Esto evita que posibles atacantes obtengan acceso que se encuentre fuera del rango. Si necesita utilizar un rango de puertos de origenpredefinido, cree un servicio personalizado. Para obtener más información, consultla pàgina 153.


153

lizados. Puede asignar a cada

n TCP o UDP

mbre que un servicio el tiempo de espera ara definir el tiempo de espera rvicio personalizado con el el servicio personalizado en el

ado en vsys.

con otro tiempo de espera en el

rsonalizado.

creenOS (aplicables a los menclatura y conjuntos de


Servicios personalizadosEn lugar de utilizar servicios predefinidos, puede crear fácilmente servicios personaservicio personalizado los atributos siguientes:

• Nombre

• Protocolo de transporte

• Números de los puertos de origen y de destino para los servicios que utiliza

• Valores de tipos y códigos para los servicios que utilizan ICMP

• Valor del tiempo de espera

Si crea un servicio personalizado en un sistema virtual (vsys) que tiene el mismo nopersonalizado previamente definido en el sistema raíz, el servicio en el vsys asumepredeterminado para el protocolo de transporte especificado (TCP, UDP o ICMP). Ppersonalizado para un servicio en un vsys distinto del predeterminado cuando un semismo nombre en el sistema raíz ya disponga de su propio tiempo de espera, cree vsys y en el sistema raíz en el orden siguiente:

1. Primero, cree un servicio personalizado con un tiempo de espera personaliz

2. A continuación, cree otro servicio personalizado con el mismo nombre pero sistema raíz.

Los ejemplos siguientes describen cómo agregar, modificar y eliminar un servicio pe

Nota: Para obtener más información sobre las convenciones de nomenclatura de Snombres creados para los servicios personalizados), consulte “Convenciones de nocaracteres” en la pàgina xiv.


154

ón siguiente:

icio, por ejemplo: 23000 –

las especificaciones de

clic en OK :

criba)

t-port 23000-23000

a de un servicio personalizado es de


Ejemplo: Agregar un servicio personalizadoPara agregar un servicio personalizado al libro de servicios se necesita la informaci

• Un nombre para el servicio, en este ejemplo “cust-telnet”

• Un rango de números de puertos de origen: 1 – 65535

• Un rango de números de puertos de destino para recibir la petición del serv23000.

• Si el servicio utiliza el protocolo TCP o UDP u otro protocolo compatible conInternet. En este ejemplo, el protocolo es TCP.

WebUI

Objects > Services > Custom > New: Introduzca los siguientes datos y haga

Service Name: cust-telnet

Service Timeout: Custom (seleccione), 30 (es

Transport Protocol: TCP (seleccione)

Source Port Low: 1

Source Port High: 65535

Destination Port Low: 23000

Destination Port High: 23000

CLI

set service cust-telnet protocol tcp src-port 1-65535 dsset service cust-telnet timeout 304

save

4. El valor del tiempo de espera se expresa en minutos. Si no se establece expresamente, el valor del tiempo de esper180 minutos. Si no desea que un servicio caduque al cumplirse su tiempo de espera, introduzca never .


155

o de puertos de destino a

servicio personalizado sin

ntes datos y haga clic en OK :

23230-23230

ure” para “cust-telnet”.


Ejemplo: Modificar un servicio personalizadoEn este ejemplo modificará el servicio personalizado “cust-telnet” cambiando el rang23230-23230.

Utilice el comando set service service_name clear para eliminar la definición de uneliminar el servicio del libro de servicios:

WebUI

Objects > Services > Custom > Edit (para cust-telnet): Introduzca los siguie

Destination Port Low: 23230

Destination Port High: 23230

CLI

set service cust-telnet clearset service cust-telnet + tcp src-port 1-65535 dst-port save

Ejemplo: Eliminar un servicio personalizadoEn este ejemplo eliminará el servicio personalizado “cust-telnet”.

WebUI

Objects > Services > Custom: Haga clic en Remove en la columna “Config

CLI

unset service cust-telnetsave


156

tiempo de espera (en minutos). mpo de espera personalizado o

do con un tiempo de espera

s o al servicio predefinido ANY, o servicio configurado que or ejemplo, si define los dos

2121 timeout 2000-2148 timeout 15

a, el dispositivo NetScreen tiempo de espera de 20 los tiempos de espera de los otra para UDP. Cuando el nado en un grupo de servicios, plica el tiempo de espera del números de puertos de destino En el ejemplo antedicho, el números de puertos de destino efinido después de ftp-1. Por lo imero el tiempo de espera para

un servicio, evite utilizar cio definido primero en una


Tiempos de espera de serviciosPara los servicios predefinidos o personalizados se puede establecer un umbral de Se puede utilizar el tiempo de espera predeterminado del servicio, especificar un tieno utilizar ningún tiempo de espera.

Algunos detalles sobre el comportamiento de los tiempos de espera de servicios:

• Cuando una directiva se refiere a un solo servicio personalizado o predefinipersonalizado, el dispositivo NetScreen aplica ese tiempo de espera.

• Cuando una directiva se refiere a un grupo de servicios, a múltiples servicioel dispositivo NetScreen aplica el tiempo de espera correspondiente al últimcoincida con el protocolo (TCP o UDP) + el número del puerto de destino. Pservicios siguientes en el orden siguiente,

set service ftp-1 protocol tcp src 0-65535 dst 2121-set service telnet-1 protocol tcp src 0-65535 dst 21

y luego hace referencia a ftp-1 junto con otros servicios en la misma directivaplica el tiempo de espera de 15 minutos definido para telnet-1 en lugar delminutos para ftp-1. Esto sucede porque el dispositivo NetScreen almacena servicios que utilizan los protocolos TCP y UDP en tablas, una para TCP y dispositivo NetScreen consulta el tiempo de espera para un servicio menciopara una directiva con servicios múltiples o para el servicio comodín ANY, aprimer servicio que encuentra en la tabla; si hubiera múltiples servicios con coincidentes, se utilizará el último servicio configurado e inscrito en la tabla.dispositivo NetScreen aplica el tiempo de espera de 15 minutos porque los para telnet-1 (2100-2148) se solapan con los de ftp-1 (2121) y telnet-1 fue dtanto, la búsqueda de un servicio con el puerto de destino 2121 descubre prtelnet-1 y lo aplica.

Para evitar la aplicación no intencionada de un tiempo de espera distinto a servicios con números de puertos de destino coincidentes o aplique el servidirectiva independiente.


157

P, el dispositivo NetScreen fiera exclusivamente a ese tivo NetScreen aplicará el protocolos distintos de TCP y

sonalizado y ya hay un servicio a raíz, el dispositivo NetScreen rvicio definido en el nivel raíz.

un servicio personalizado mpo de espera personalizado

o el tiempo de espera uerto en el nivel raíz. Para ello,

l mismo protocolo y los mismos licar en el nivel vsys.

GP a 75 minutos:

os y haga clic en OK :

criba)


• Para servicios que utilizan ICMP o cualquier protocolo distinto de TCP y UDaplicará el tiempo de espera personalizado siempre que una directiva se reservicio. Cuando una directiva haga referencia a varios servicios, el dispositiempo de espera predeterminado (1 minuto) para los servicios que utilicen UDP.

• Cuando una directiva en un sistema virtual (vsys) se refiere a un servicio perdefinido con el mismo protocolo + número de puerto de destino en el sistemaplica al servicio en el nivel vsys el tiempo de espera correspondiente al se

• No se puede definir explícitamente un tiempo de espera personalizado paracreado en el nivel vsys. Sin embargo, se puede aplicar indirectamente un tieen el nivel vsys creando un servicio personalizado en vsys y aplicando luegpersonalizado deseado a un servicio con el mismo protocolo + número de psiga estos pasos en el orden siguiente:

1. Cree un servicio personalizado en vsys.

2. A continuación, en el sistema raíz, cree otro servicio personalizado con enúmeros de puertos de destino, y con el tiempo de espera que desee ap

Ejemplo: Establecer el tiempo de espera de un servicioEn este ejemplo cambiará el umbral del tiempo de espera del servicio predefinido B

WebUI

Objects > Services > Predefined > Edit (BGP): Introduzca los siguientes dat

Service Timeout: Custom (seleccione), 75 (es

CLI

set service BGP timeout 75save


158

et Control Message Protocol” o nalizados. Al configurar un de mensajes ICMP. Por

o proporciona información más

ocol”.

d

st

Live exceeded in

ido (“Fragment


Servicios ICMPScreenOS es compatible con el protocolo de mensajes de control de Internet (“Intern“ICMP”) y admite diversos mensajes ICMP, como los servicios predefinidos o persoservicio ICMP personalizado, deberá definir su tipo y código5. Existen diversos tiposejemplo:

tipo 0 = mensaje de petición de eco (“Echo Request”)

tipo 3 = mensaje de destino inalcanzable (“Destination Unreachable”)

Los tipos de mensajes ICMP también pueden tener un código de mensaje. El códigespecífica sobre el mensaje. Por ejemplo:

ScreenOS admite cualquier tipo o código dentro del rango 0-255.

5. Para obtener más información sobre los tipos y códigos de ICMP, consulte RFC 792, “Internet Control Message Prot

Tipo de mensaje Código de mensaje5 = Reenviar (“Redirect”) 0 = Reenvía el datagrama de la red (o subred)

1 = Reenvía el datagrama del host

2 = Reenvía el datagrama del tipo de servicio y re

3 = Reenvía el datagrama del tipo de servicio y ho

11 = Códigos de tiempo excedido (“Time Exceeded”)

0 = Tiempo de vida excedido en tránsito (“Time to Transit”)

1 = Tiempo de reensamblaje de fragmentos excedReassembly Time Exceeded”)


159

que utilizará ICMP como y el código es 1 (“Host

OK :

riba)


Ejemplo: Definir un servicio ICMPEn este ejemplo definirá un servicio personalizado denominado “host-unreachable” protocolo de transporte. El tipo es 3 (correspondiente a “Destination Unreachable”) Unreachable”). Establecerá el valor del tiempo de espera en 2 minutos.

WebUI

Objects > Services > Custom: Introduzca los siguientes datos y haga clic en

Service Name: host-unreachable

Service Timeout: Custom (seleccione), 2 (esc

Transport Protocol: ICMP (seleccione)

ICMP Type: 3

ICMP Code: 1

CLI

set service host-unreachable protocol icmp type 5 code 0set service host-unreachable timeout 2save


160

usuarios autenticados ejecutar SH en los modos Transparent el tráfico RSH.

ue un programa que se esté tá ejecutando en otro equipo. adcast”, la dirección de

de programa y número de rama y el número de versión de

o y denegando el tráfico aplicación (“application layer NetScreen puedan manejar el ra asegurar el cumplimiento de una directiva de cortafuegos terminados números de y salientes.

nsporte del servicio, que en el es el siguiente:

oto. El mensaje GETPORT oto que desea ejecutar.


RSH ALGRSH ALG (puerta de enlace “Remote Shell” en la capa de aplicación) permite a los comandos shell en hosts remotos. Los dispositivos NetScreen admiten el servicio R(L2), Route (L3) y NAT, pero los dispositivos no admiten la traducción de puertos en

Sun Remote Procedure Call Application Layer GatewaySun RPC, también conocido como Open Network Computing (ONC) RPC, permite qejecutando en un equipo pueda ejecutar procedimientos de un programa que se esDebido al gran número de servicios RPC y a la necesidad de realizar difusiones “brotransporte de un servicio RPC se negocia dinámicamente basándose en el número versión del servicio. Hay definidos varios protocolos para asignar el número de progRPC a una dirección de transporte.

Los dispositivos NetScreen admiten Sun RPC como servicio predefinido, permitiendbasándose en una directiva que usted configure. La puerta de enlace de la capa degateway” o “ALG”) proporciona la funcionalidad necesaria para que los dispositivos mecanismo dinámico de negociación de direcciones de transporte de Sun RPC y palas directivas de cortafuegos basadas en el número de programa. Se puede definir para permitir o denegar todas las peticiones RPC, o bien para permitir o denegar deprograma. ALG también admite el modo Route y NAT para las peticiones entrantes

Situaciones típicas de llamadas RPCCuando un cliente llama a un servicio remoto, necesita encontrar la dirección de tracaso de TCP/UDP es un número de puerto. Un procedimiento típico para este caso

1. El cliente envía el mensaje GETPORT al servicio RPCBIND del equipo remcontiene los números de programa, versión y procedimiento del servicio rem

2. El servicio RPCBIND responde con un número de puerto.

3. El cliente llama al servicio remoto usando el número de puerto devuelto.

4. El servicio remoto responde al cliente.


161

directamente sin conocer el

. El mensaje CALLIT contiene desea ejecutar.

puesta contiene el resultado de

os Sun RPC Portmapper Protocol CP/UDP, incluyendo el puerto servicios de esta tabla están a.

unt Daemon

C Network File System

un RPC Network Lock Manager

PC Remote Quota Daemon

C Remote Status Daemon

RPC Remote User Daemon

ema Sun RPC System

n


Un cliente también puede utilizar el mensaje CALLIT para llamar al servicio remoto número de puerto del servicio. En este caso, el procedimiento es el siguiente:

1. El cliente envía el mensaje CALLIT al servicio RPCBIND del equipo remotolos números de programa, versión y procedimiento del servicio remoto que

2. RPCBIND llama al servicio para el cliente.

3. RCPBIND responde al cliente si la llamada se ha realizado con éxito. La resla llamada y el número de puerto del servicio.

Servicios Sun RPCLa tabla siguiente enumera los servicios Sun RPC predefinidos.

Nombre Número del programa

Descripción

SUN-RPC-PORTMAPPER 100000 El protocolo de asignación de puertes un servicio basado en puertos TTCP/UDP nº 111. Todos los demásbasados en el número del program

SUN-RPC-ANY N/D Cualquier servicio Sun RPC

SUN-RPC-MOUNTD 100005 Demonio de montaje Sun RPC Mo

SUN-RPC-NFS 100003100227

Sistema de archivos en red Sun RP

SUN-RPC-NLOCKMGR 100021 Administrador de bloqueos de red S

SUN-RPC-RQUOTAD 100011 Demonio de cuotas remotas Sun R

SUN-RPC-RSTATD 100001 Demonio de estado remoto Sun RP

SUN-RPC-RUSERD 100002 Demonio de usuarios remotos Sun

SUN-RPC-SADMIND 100232 Demonio de administración del sistAdministration Daemon

SUN-RPC-SPRAYD 100012 Demonio Sun RPC SPRAY Daemo


162

pueden utilizar objetos de la directiva de seguridad. Para or ejemplo, NFS utiliza dos on dinámicos. Para permitir los os números. El ALG asignará rá o denegará el servicio

ar Sun RPC Network File

atos y haga clic en Apply :

marilla Sun RPC Yellow Page


Ejemplo: Servicios Sun RPCDado que los servicios Sun RPC utilizan puertos negociados dinámicamente, no seservicios convencionales basándose en puertos TCP/UDP fijos para autorizarlos enello es necesario crear objetos “sun rpc service” utilizando números de programa. Pnúmeros de programa: 100003 y 100227. Los puertos TCP/UDP correspondientes snúmeros de programa, cree un objeto de servicio sun-rpc-nfs que contenga estos dlos números de programa a puertos TCP/UDP negociados dinámicamente y permitibasándose en una directiva que usted configure.En este ejemplo, creará un objeto de servicio denominado my-sunrpc-nfs para utilizSystem, identificado por dos identificadores de programa: 100003 y 100227.

WebUI

Objects > Services > Sun RPC Services > New: Introduzca los siguientes d

Service Name: my-sunrpc-nfs

Service Timeout: (seleccione)

Program ID Low: 100003

Program ID High: 100003

Program ID Low: 100227

Program ID High: 100227

SUN-RPC-STATUS 100024 Sun RPC STATUS

SUN-RPC-WALLD 100008 Demonio Sun RPC WALL Daemon

SUN-RPC-YPBIND 100007 Servicio de asignación de página aBind Service

Nombre Número del programa

Descripción


163

3-1000037

waystribuida (“Distributed e Call Application Layer ndo en un equipo pueda bido al gran número de nsporte de un servicio RPC se

nique IDentifier” o “UUID”). En l UUID específico a una

o y denegando el tráfico necesaria para que los direcciones de transporte de UID. Se puede definir una ra permitir o denegar s peticiones entrantes y


CLI

set service my-sunrpc-nfs protocol sun-rpc program 10000set service my-sunrpc-nfs + sun-rpc program 100227-10022save

Microsoft Remote Procedure Call Application Layer GateMS RPC es la implementación de Microsoft del RPC del entorno de computación diComputing Environment” o DCE). Como Sun RPC (consulte “Sun Remote ProcedurGateway” en la pàgina 160), MS RPC permite que un programa que se está ejecutaejecutar procedimientos de un programa que se está ejecutando en otro equipo. Deservicios RPC y a la necesidad de realizar difusiones “broadcast”, la dirección de tranegocia dinámicamente basándose en el identificador universal único (“Universal UScreenOS, el protocolo de asignación Endpoint Mapper está definido para asignar edirección de transporte.

Los dispositivos NetScreen admiten MS RPC como servicio predefinido, permitiendbasándose en una directiva que usted configure. ALG proporciona la funcionalidad dispositivos NetScreen puedan manejar el mecanismo de negociación dinámica de MS RPC y garantizar el cumplimiento de las directivas de cortafuegos basadas en Udirectiva de cortafuegos para permitir o denegar todas las peticiones RPC, o bien padeterminados números de UUID. ALG también admite el modo Route y NAT para lasalientes.


164

ripcióncolo Remote Procedure Call ) Endpoint Mapper (EPM) de soft, un servicio basado en os TCP/UDP, incluyendo el puerto UDP nº 135. Todos los demás ios de esta tabla están basados ID.

squiera servicios Remote dure Call (RPC) de Microsoft

cios de copia de seguridad y uración de Active Directory de soft

cio de replicación de Active tory de Microsoft

cio DSROLE de Active Directory icrosoft

cio de configuración de Active tory de Microsoft

cio distribuido de coordinación de acciones Distributed Transaction dinator de Microsoft

cio de base de datos de Microsoft ange

cio de directorios de Microsoft ange


Servicios de MS RPCLa tabla siguiente enumera los servicios MS RPC predefinidos.

Nombre UUID DescMS-RPC-EPM e1af8308-5d1f-11c9-91a4-08002b14a0fa Proto

(RPCMicropuertTCP/servicen UU

MS-RPC-ANY N/D CualeProce

MS-AD-BR ecec0d70-a603-11d0-96b1-00a0c91ece3016e0cf3a-a604-11d0-96b1-00a0c91ece30

ServirestaMicro

MS-AD-DRSUAPI e3514235-4b06-11d1-ab04-00c04fc2dcd2 ServiDirec

MS-AD-DSROLE 1cbcad78-df0b-4934-b558-87839ea501c9 Servide M

MS-AD-DSSETUP 3919286a-b10c-11d0-9ba8-00c04fd92ef5 ServiDirec

MS-DTC 906b0ce0-c70b-1067-b317-00dd010662da ServitransCoor

MS-EXCHANGE-DATABASE 1a190310-bb9c-11cd-90f8-00aa00466520 ServiExch

MS-EXCHANGE-DIRECTORY f5cc5a18-4264-101a-8c59-08002b2f8426f5cc5a7c-4264-101a-8c59-08002b2f8426f5cc59b4-4264-101a-8c59-08002b2f8426

ServiExch


165

cio de almacenamiento de ación Microsoft Exchange ation Store

cio Exchange MTA de Microsoft

cio de almacén de Microsoft ange

cio System Attendant de Microsoft ange

cio de replicación de archivos de soft

cio COM GUID/UUID de Microsoft et Information Server

cio IMAP4 de Microsoft Internet ation Server

cio INETINFO de Microsoft et Information Server

cio NNTP de Microsoft Internet ation Server

ripción


MS-EXCHANGE-INFO-STORE 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde1453c42c-0fa6-11d2-a910-00c04f990f3b10f24e8e-0fa6-11d2-a910-00c04f990f3b1544f5e0-613c-11d1-93df-00c04fd7bd09

ServiinformInform

MS-EXCHANGE-MTA 9e8ee830-4459-11ce-979b-00aa005ffebe38a94e72-a9bc-11d2-8faf-00c04fa378ff

Servi

MS-EXCHANGE-STORE 99e66040-b032-11d0-97a4-00c04fd6551d89742ace-a9ed-11cf-9c0c-08002be7ae86a4f1db00-ca47-1067-b31e-00dd010662daa4f1db00-ca47-1067-b31f-00dd010662da

ServiExch

MS-EXCHANGE-SYSATD 67df7c70-0f04-11ce-b13f-00aa003bac6cf930c514-1215-11d3-99a5-00a0c9b61b0483d72bf0-0d89-11ce-b13f-00aa003bac6c469d6ec0-0d87-11ce-b13f-00aa003bac6c06ed1d30-d3d3-11cd-b80e-00aa004b9c30

ServiExch

MS-FRS f5cc59b4-4264-101a-8c59-08002b2f8426d049b186-814f-11d1-9a3c-00c04fc9b232a00c021c-2be2-11d2-b678-0000f87a8f8e

ServiMicro

MS-IIS-COM 70b51430-b6ca-11d0-b9b9-00a0c922e750a9e69612-b80d-11d0-b9b9-00a0c922e70

ServiIntern

MS-IIS-IMAP4 2465e9e0-a873-11d0-930b-00a0c90ab17c ServiInform

MS-IIS-INETINFO 82ad4280-036b-11cf-972c-00aa006887b0 ServiIntern

MS-IIS-NNTP 4f82f460-0e21-11cf-909e-00805f48a135 ServiInform

Nombre UUID Desc


166

cio POP3 de Microsoft Internet ation Server

cio SMTP de Microsoft Internet ation Server

cio Microsoft Inter-site Messaging

cio Microsoft Messenger

cio de administración de colas de ajes Microsoft Windows Message e Management

cio Microsoft Netlogon

cio Microsoft Scheduler

dor DNS de Microsoft Windows

cio WINS de Microsoft

ripción


MS-IIS-POP3 1be617c0-31a5-11cf-a7d8-00805f48a135 ServiInform

MS-IIS-SMTP 8cfb5d70-31a4-11cf-a7d8-00805f48a135 ServiInform

MS-ISMSERV 68dcd486-669e-11d1-ab0c-00c04fc2dcd2130ceefb-e466-11d1-b78b-00c04fa32883

Servi

MS-MESSENGER 17fdd703-1827-4e34-79d4-24a55c53bb375a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc

Servi

MS-MQQM fdb3a030-065f-11d1-bb9b-00a024ea552576d12b80-3467-11d3-91ff-0090272f9ea31088a980-eae5-11d0-8d9b-00a02453c335b5b3580-b0e0-11d1-b92d-0060081e87f0 41208ee0-e970-11d1-9b9e-00e02c064c39

ServimensQueu

MS-NETLOGON 12345678-1234-abcd-ef00-01234567cffb Servi

MS-SCHEDULER 1ff70682-0a51-30e8-076d-740be8cee98b378e52b0-c0a9-11cf-822d-00aa0051e40f0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53

Servi

MS-WIN-DNS 50abc2a4-574d-40b3-9d66-ee4fd5fba076 Servi

MS-WINS 45f52c28-7f9f-101a-b52b-08002b2efabe811109bf-a4e1-11d1-ab54-00a0c91e9b45

Servi

Nombre UUID Desc


167

pueden utilizar objetos de la directiva de seguridad. En icio MS Exchange Info Store,

jeto de servicio en estos cuatro UUID, el ALG y permitirá o denegará el

uirá los UUIDs del servicio Info

-BR, MS-AD-DRSUAPI,

-DATABASE, -INFO-STORE, y MS-EXCHANGE-SYSATD

MS-IIS-COM, MS-IIS-IMAP4, y MS-IIS-SMTP


Grupos de servicios MS RPCLa tabla siguiente enumera los grupos de servicios MS RPC predefinidos.

Ejemplo: Servicios para MS RPCDado que los servicios MS RPC utilizan puertos negociados dinámicamente, no se servicios convencionales basándose en puertos TCP/UDP fijos para autorizarlos enlugar de ello, deben crearse objetos de servicios MS RPC utilizando UUIDs. El servpor ejemplo, utiliza los cuatro UUIDs siguientes:

• 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde

• 1453c42c-0fa6-11d2-a910-00c04f990f3b

• 10f24e8e-0fa6-11d2-a910-00c04f990f3b

• 1544f5e0-613c-11d1-93df-00c04fd7bd09

Los puertos TCP/UDP correspondientes son dinámicos. Para permitirlos, cree un obms-exchange-info-store del servicio que contenga estos cuatro UUIDs. Basándose asignará los números de programa a puertos TCP/UDP negociados dinámicamenteservicio basándose en una directiva que usted configure.En este ejemplo, creará un objeto de servicio denominado my-ex-info-store que inclStore de MS Exchange.

Nombre DescripciónMS-AD Active Directory de Microsoft, incluyendo MS-AD

MS-AD-DSROLE y MS-AD-DSSETUP

MS-EXCHANGE Microsoft Exchange, incluyendo MS-EXCHANGEMS-EXCHANGE-DIRECTORY, MS-EXCHANGEMS-EXCHANGE-MTA, MS-EXCHANGE-STORE

MS-IIS Microsoft Internet Information Server, incluyendoMS-IIS-INETINFO, MS-IIS-NNTP, MS-IIS-POP3


168

n Apply :

de

3b

b

09

-11d2-a910-00c04f990f3b-11d2-a910-00c04f990f3b-11d1-93df-00c04fd7bd09


WebUI

Objects > Services > MS RPC: Introduzca los siguientes datos y haga clic e

Service Name: my-ex-info-store

UUID: 0e4a0156-dd5d-11d2-8c2f-00c04fb6bc

UUID: 1453c42c-0fa6-11d2-a910-00c04f990f

UUID: 10f24e8e-0fa6-11d2-a910-00c04f990f3

UUID: 1544f5e0-613c-11d1-93df-00c04fd7bd

CLI

set service my-ex-info-store protocol ms-rpc uuid 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde

set service my-ex-info-store + ms-rpc uuid 1453c42c-0fa6set service my-ex-info-store + ms-rpc uuid 10f24e8e-0fa6set service my-ex-info-store + ms-rpc uuid 1544f5e0-613csave


169

o varias secuencias multimedia uencias de datos por sí mismo ele utilizar más como “control ara seleccionar canales de de entrega basándose en el (“Session Description Protocol”) iente para el control agregado ntrol no agregado de una Los orígenes de datos pueden

ráfico RTSP basándose en una erto asignados dinámicamente de control. ALG realiza el ondientes ojos de aguja ce las direcciones y puertos IP

, transparente, NAT basado en

ión (por ejemplo, cuando el ón TCP al servidor RTSP en el odos) para descubrir qué IONS especificando el nombre (Para obtener más información RFC 2326, sección 11).

media que desea. El servidor o SDP. Seguidamente, el ecuencias de medios ecibirá los medios. Con NAT, el responde al método SETUP e y al servidor en cuanto al odo PLAY y el servidor


Real Time Streaming Protocol Application Layer GatewayRTSP es un protocolo a nivel de aplicación que permite controlar la entrega de una sincronizadas, tales como audio y vídeo. Aunque RTSP es capaz de suministrar secinterpolando las secuencias de medios continuos con la secuencia de control, se suremoto de red” para servidores multimedia. El protocolo fue diseñado como medio pentrega, como UDP, multicast UDP y TCP, así como para seleccionar el mecanismoprotocolo RTP (“Real Time Protocol”). RTSP también puede utilizar el protocolo SDP(consulte “SDP” en la pàgina 207) como medios para proporcionar información al clde una presentación compuesta por secuencias de unos o varios servidores y el copresentación compuesta por múltiples secuencias procedentes de un solo servidor.ser suministrados en directo o clips almacenados.

Los dispositivos NetScreen admiten RTSP como servicio y permiten o deniegan el tdirectiva que usted configure. ALG es necesario porque RTSP utiliza números de puque se incluyen en los datos del paquete durante el establecimiento de la conexión seguimiento de los números de puerto asignados dinámicamente y abre los corresp(consulte “Creación de ojos de aguja” en la pàgina 208). En el modo NAT, ALG tradusegún se requiera. Los dispositivos NetScreen admiten RTSP en los modos de rutainterfaz y NAT basado en directivas.

La siguiente ilustración representa una sesión RTSP típica. El cliente inicia una sesusuario hace clic en el botón de reproducción de RealPlayer), establece una conexipuerto 554 y envía el mensaje OPTIONS (los mensajes también se denominan métfunciones de audio y vídeo soporta el servidor. El servidor responde al mensaje OPTy la versión del servidor, así como un identificador de sesión, por ejemplo 24256-1. sobre métodos, consulte “Métodos de petición del protocolo SIP” en la pàgina 201 y

A continuación, el cliente envía el mensaje DESCRIBE con la URL del archivo multiresponde al mensaje DESCRIBE con una descripción del medio utilizando el formatcliente envía el mensaje SETUP, que especifica los mecanismos de transporte de saceptables para el cliente, por ejemplo RTP/RTCP o RDT, y los puertos en los que rALG RTSP supervisa estos puertos y los traduce cuando sea necesario. El servidorseleccionando uno de los protocolos de transporte, lo que pone de acuerdo al clientmecanismo para el transporte de los medios. A continuación, el cliente envía el métcomienza a enviar la secuencia multimedia al cliente.


170

Servidor RealMediaPuerto 554

creada)

sentación de medios)

desde el puerto 9086)

Puerto 9086

TP especificada)sde el servidor


Cliente RealPlayerPuerto 3408

Dispositivo NetScreen

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

��

1. SYN (puerto 3408 al puerto RTSP 554)

2. SYN ACK3. ACK4. OPTIONS (admitidas)

5. RTSP OK (sesión 24256-16. DESCRIBE (presentación de medios)

7. RTSP OK (con SDP de pre8. SDP (continuación)

9. SETUP (el cliente “escucha” en el puerto 6970a la espera de medios)

10. RTSP OK (sesión 2456-1

Puerto6970

11. SET_PARAM 12. RTSP OK

13. PLAY 14. RTSP OK (información R15. Datos RTP enviados de

16. Datos RTCP ocasionales

17. TEARDOWN 17. RSTP OK

17. TCP RST


171

multimedia), la dirección o pcional. Por presentación se de un conjunto compuesto por . Una secuencia es una uetes creados por un origen

ervidor requerido

cliente opcional

ado

ado


Métodos de petición RTSPLa tabla siguiente enumera los métodos que se pueden aplicar a un recurso (objetodirecciones de flujo de la información y si el método es requerido, recomendado u oentiende información tal como las direcciones de red, la codificación y el contenido una o varias secuencias presentadas al cliente como provisión de medios completainstancia de medios única, por ejemplo de audio o de vídeo, así como todos los paqdurante la sesión.

Método Sentido Objeto Requisito

OPTIONSCliente a servidor Presentación, secuencia Cliente a s

Servidor a cliente Presentación, secuencia Servidor a

DESCRIBE Cliente a servidor Presentación, secuencia Recomend

ANNOUNCECliente a servidor Presentación, secuencia

OpcionalServidor a cliente Presentación, secuencia

SETUP Cliente a servidor Secuencia Requerido

GET_PARAMETERCliente a servidor

Presentación, secuencia OpcionalServidor a cliente

SET_PARAMETERCliente a servidor

Presentación, secuencia OpcionalServidor a cliente

PLAY Cliente a servidor Presentación, secuencia Requerido

PAUSE Cliente a servidor Presentación, secuencia Recomend

RECORD Cliente a servidor Presentación, secuencia Opcional

REDIRECT Servidor a cliente Presentación, secuencia Opcional

TEARDOWN Cliente a servidor Presentación, secuencia Requerido

Nota: En el futuro podrían definirse métodos adicionales.


172

o admite y otros datos como el

mo velocidad del reloj, tablas te pueda necesitar para l archivo que está solicitando y ulte “SDP” en la pàgina 207).

la presentación o del objeto para actualizar la descripción

o los puertos en los que

e la secuencia especificado en presencia del cliente o del

utilizar el comando “ping”.

e un parámetro de la das con el cortafuegos, este

o especificado en SETUP. El ean correctas. El servidor pone iones PLAY hasta que se haya ntener un rango especificado. universal coordinada), para ecuencias procedentes de

Si la URL solicitada especifica La sincronización de pistas se eden cerrar la sesión si PAUSE a en SETUP. Una petición


Definición de los métodos:

• OPTIONS: El cliente consulta al servidor qué características de audio o vídenombre y la versión del servidor y la identificación de la sesión.

• DESCRIBE: Para el intercambio de los datos de inicialización de medios, code colores y cualquier información independiente del transporte que el clienreproducir la secuencia de medios. Generalmente, el cliente envía la URL deel servidor responde con una descripción del medio en formato SDP. (Cons

• ANNOUNCE: El cliente utiliza este método para publicar una descripción demultimedia identificado por la URL solicitada. El servidor utiliza este métodode la sesión en tiempo real.

• SETUP: El cliente especifica los mecanismos de transporte aceptables, comrecibirá la secuencia de medios y el protocolo de transporte.

• GET_PARAMETER: Consulta el valor de una presentación o el parámetro del URL. Este método se puede utilizar sin cuerpo de entidad para verificar laservidor. Para verificar si el cliente o servidor está “vivo” también se puede

• SET_PARAMETER: El cliente utiliza este método para establecer el valor dpresentación o secuencia especificado por el URL. Por cuestiones relacionamétodo no se puede utilizar para establecer parámetros de transporte.

• PLAY: Ordena al servidor que comience a enviar datos usando el mecanismcliente no enviará peticiones PLAY hasta que todas las peticiones SETUP sen cola las peticiones PLAY por orden y retrasa la ejecución de nuevas peticcompletado una petición PLAY activa. Las peticiones PLAY pueden o no coEl rango puede contener un parámetro de tiempo, expresado en UTC (horacomenzar la reproducción, que también se puede utilizar para sincronizar sdiversos orígenes.

• PAUSE: Detiene temporalmente la transmisión de una presentación activa.una secuencia particular, por ejemplo de audio, esto equivale a silenciarla. mantiene al reanudar la reproducción o grabación, aunque los servidores pucorresponde a la duración especificada en el parámetro de tiempo de esperPAUSE descarta todas las peticiones PLAY existentes en la cola.


173

de la presentación. Con una rio el servidor utilizará las horas

ién contiene tanto su a nueva URL. Para seguir DOWN para la sesión actual y

ecursos asociados a la misma. ión de la sesión, debe emitirse

cliente y del servidor. Los máquina, así como una frase Los códigos de estado están

petición

e puede llevar a cabo

entemente válida

las frases de motivo e al funcionamiento del

el motivo

-URI Too Large

rted Media Type


• RECORD: Comienza a grabar el rango de medios definido en la descripciónmarca de hora UTC se indican las horas de comienzo y de final, de lo contrade comienzo y de final de la descripción de la presentación.

• REDIRECT: Informa al cliente de que debe conectarse a otro servidor; tambinformación de ubicación como, posiblemente, un parámetro de rango de esrecibiendo medios para este URI, el cliente debe generar una petición TEARun SETUP para la nueva sesión.

• TEARDOWN: Detiene la entrega de la secuencia del URI dado y libera los rSalvo que todos los parámetros de transporte sean definidos por la descripcuna petición SETUP para que la sesión pueda volver a reproducirse.

Códigos de estado de RTSPRTSP utiliza códigos de estado para proporcionar información sobre peticiones del códigos de estado incluyen un código de resultado de tres cifras interpretable por ladescriptiva del motivo. El cliente puede elegir si desea visualizar la frase del motivo.clasificados de la siguiente manera:

• Informativo (100 a 199): petición recibida y en proceso

• Éxito (200 a 299): acción recibida correctamente, comprendida y aceptada

• Redirección (300 a 399): se requiere una acción adicional para completar la

• Error del cliente (400 a 499): la petición es sintácticamente incorrecta y no s

• Error del servidor (500 a 599): el servidor no pudo cumplir una petición apar

La tabla siguiente enumera todos los códigos de estado definidos para RTSP 1.0 y recomendadas. Las frases de motivo se pueden revisar o redefinir sin que ello afectprotocolo.

Código de estado

Frase del motivo Código de estado

Frase d

100 Continue 414 Request

200 OK 415 Unsuppo


174

rted Media Type

ce Not Found

ugh Bandwidth

Not Found

Not Valid in This State

ield Not Valid for Resource

ange

er is Read-Only

te operation not allowed

regate operation allowed

rted transport

ion unreachable

Server Error

emented

eway

Unavailable

Time-out

ersion not supported

ot supported

2326, “Real Time Streaming

el motivo


201 Created 451 Unsuppo

250 Low on Storage Space 452 Conferen

300 Multiple Choices 453 Not Eno

301 Moved Permanently 454 Session

303 See Other 455 Method

304 Not Modified 456 Header F

305 Use Proxy 457 Invalid R

400 Bad Request 458 Paramet

401 Unauthorized 459 Aggrega

402 Payment Required 460 Only agg

403 Forbidden 461 Unsuppo

404 Not Found 462 Destinat

405 Method Not Allowed 500 Internal

406 Not Acceptable 501 Not Impl

407 Proxy Authentication Required 502 Bad Gat

408 Request Time-out 503 Service

410 Gone 504 Gateway

411 Length Required 505 RTSP V

412 Precondition Failed 551 Option n

413 Request Entity Too Large

Nota: Para ver las definiciones completas de los códigos de estado, consulte RFC Protocol (RTSP)”.

Código de estado

Frase del motivo Código de estado

Frase d


175

la zona Untrust. Usted decide t y luego crear una directiva

idor de medios en la zona Trust.

s y haga clic en Apply :

e)

Cliente1.1.1.5

Untrust

LAN


Ejemplo: Servidor de medios en un dominio privadoEn este ejemplo, el servidor de medios se encuentra en la zona Trust y el cliente encolocar una MIP en la interfaz ethernet3 hacia el servidor de medios en la zona Truspara permitir que el tráfico de RTSP pase desde el cliente en la zona Untrust al serv

WebUI


Zone Name: Trust



Manage IP: 10.1.1.2

Servidor de medios10.1.1.3

ethernet110.1.1.1

ethernet31.1.1.1

Mip de dispositivo virtual

en Ethernet3 1.1.1.3 -> 10.1.1.3

Trust

LANDispositivo NetScreen


176


e)

lic en OK :

lic en OK :

guientes datos y haga clic



Zone Name: Untrust



Manage IP: 1.1.1.2


Address Name: media_server



Zone: Trust


Address Name: client



Zone: Untrust

3. MIPNetwork > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los sien OK :

Mapped IP 1.1.1.3



177

y haga clic en OK :

1.3)

p permit


4. DirectivaPolicies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos

Source Address:

Address Book Entry: (seleccione), client


Address Book Entry: (seleccione), MIP(1.1.

Service: RTSP

Action: Permit

CLI

1. Interfacesset interface ethernet1 trustset interface ethernet1 ip 10.1.1.1

set interface ethernet3 untrustset interface ethernet3 ip 1.1.1.1

2. Direccionesset address trust media_server 10.1.1.3/24set address untrust client 1.1.1.5

3. MIPset interface ethernet3 mip (1.1.1.3) host 10.1.1.3

4. Directivaset policy from untrust to trust client mip(1.1.1.3) rtssave


178

a zona Trust. Usted colocará edios responda al cliente ya desde la zona Trust a la



Servidor de medios1.1.1.3

ntrust

LAN


Ejemplo: Servidor de medios en un dominio públicoEn este ejemplo, el servidor de medios se encuentra en la zona Untrust y el cliente en lun conjunto de DIP en la interfaz ethernet3 para ejecutar NAT cuando el servidor de mdesde la zona Untrust y luego creará una directiva para permitir que el tráfico RTSP fluzona Untrust.

WebUI

1. InterfazNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y

Zone Name: Trust



Manage IP: 10.1.1.2

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y

Zone Name: Untrust



Manage IP: 1.1.1.2

ethernet110.1.1.1

ethernet31.1.1.1

Cliente10.1.1.3

Conjunto de DIP en ethernet3

1.1.1.5 a 1.1.1.50

UTrust

LANDispositivo


179

lic en OK :

lic en OK :


.1.50

y haga clic en OK :

rver



Address Name: client



Zone: Trust


Address Name: media_server



Zone: Untrust

3. Conjunto de DIPNetwork > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los sig OK :

ID: 5

IP Address Range: (seleccione) 1.1.1.5 ~ 1.1

Port Translation: (seleccione)

4. DirectivaPolicies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos

Source Address:

Address Book Entry (seleccione): client


Address Book Entry (seleccione): media_se

Service: RTSP


180

y haga clic en OK :

ne)50)/port-xlate

p nat dip 5 permit


Action: Permit

> Advanced: Introduzca los siguientes datos NAT:

Source Translation: (seleccio(DIP on): 5 (1.1.1.5-1.1.1.

CLI

1. Interfazset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Direccionesset address trust client ip 10.1.1.3/24set address untrust media_server ip 1.1.1.3/24

3. Conjunto de DIPset interface ethernet3 dip 5 1.1.5 1.1.1.50

4. Directivaset policy from trust to untrust client media_server rtssave


181

er-IP” o “VoIP”) entre equipos lefonía, los equipos selectores e las llamadas “VoIP”. Los

do “transparente”

r entre los hosts de telefonía IP zona Untrust. En este ejemplo, a (“Route”). Las dos zonas de

ue pueden configurarse otros ©.

Zona Untrust

nternet

fono IPunto final.2.2.5

nternet

rust


Protocolo H.323 para “Voice-over-IP”El protocolo H.323 permite asegurar la comunicación de voz mediante IP (“Voice-ovterminales, como teléfonos IP y dispositivos de multimedia. En estos sistemas de te(“gatekeeper”) gestionan el registro y la admisión de llamadas, así como el estado dequipos selectores pueden residir en dos zonas diferentes o en la misma zona.

Ejemplo: Equipo selector (“gatekeeper”) en la zona Trust (moo “ruta”)En el ejemplo siguiente configurará dos directivas para permitir al tráfico H.323 pasay un equipo selector en la zona Trust y un teléfono IP en la dirección IP 2.2.2.5 de lael dispositivo NetScreen puede estar en modo transparente (“Transparent”) o de rutseguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.

Nota: En los ejemplos siguientes se utilizan teléfonos IP con fines ilustrativos, aunqequipos que utilicen el protocolo VoIP, como dispositivos multimedia de NetMeeting

Zona Trust

Equipo selector Equipo selectorPermitido

Punto final Punto final

I

Permitido

Equipo selector

Teléfonos IP de punto

final

Teléde p

2

I

Zona UntZona Trust


182

lic en OK :

haga clic en OK :

e

haga clic en OK :

e


WebUI


Address Name: IP_Phone



Zone: Untrust


Source Address:



Address Book Entry: (seleccione), IP_Phon

Service: H.323

Action: Permit


Source Address:




Service: H.323

Action: Permit


183

itit

odo transparente

irecciones, la configuración del éntica a la configuración de un

r entre los hosts de telefonía IP zona Untrust. El dispositivo

ntrust se encuentran en el

Internet

IP_Phone2.2.2.5/32

ntrust


CLI

1. Direcciónset address untrust IP_Phone 2.2.2.5/32

2. Directivasset policy from trust to untrust any IP_Phone h.323 permset policy from untrust to trust IP_Phone any h.323 permsave

Ejemplo: Equipo selector (“gatekeeper”) en la zona Untrust (mo ruta)Dado que los modos transparente y ruta no requieren ningún tipo de asignación de ddispositivo NetScreen para un equipo selector en la zona Untrust es generalmente idequipo selector en la zona Trust.

En el ejemplo siguiente configurará dos directivas para permitir al tráfico H.323 pasaen la zona Trust y el teléfono IP en la dirección IP 2.2.2.5 (y el equipo selector) de lapuede estar en modo transparente o de ruta. Las dos zonas de seguridad Trust y Udominio de enrutamiento trust-vr.

IP_Phones

Gatekeeper

Zona UZona Trust

LAN


184

lic en OK :

lic en OK :

haga clic en OK :

e


WebUI


Address Name: IP_Phone



Zone: Untrust


Address Name: Gatekeeper



Zone: Untrust


Source Address:




Service: H.323

Action: Permit


185

haga clic en OK :

e

haga clic en OK :

per

itrmititrmit



Source Address:




Service: H.323

Action: Permit


Source Address:



Address Book Entry: (seleccione), Gatekee

Service: H.323

Action: Permit

CLI

1. Direccionesset address untrust IP_Phone 2.2.2.5/32set address untrust gatekeeper 2.2.2.10/32

2. Directivasset policy from trust to untrust any IP_Phone h.323 permset policy from trust to untrust any gatekeeper h.323 peset policy from untrust to trust IP_Phone any h.323 permset policy from untrust to trust gatekeeper any h.323 pesave


186

rk Address Translation” o t tiene una dirección privada, y ositivo NetScreen se establece esite recibir tráfico entrante con

5) y el equipo selector NetScreen para permitir tráfico t “IP_Phone2” de punto final en minio de enrutamiento trust-vr.


e)

OK :

IP_Phone22.2.2.5

Untrust

Internet

enlace 50


Ejemplo: Llamadas salientes con NATCuando el dispositivo NetScreen utiliza la traducción de direcciones de red (“Netwo“NAT”), un equipo selector (“gatekeeper”) o dispositivo de punto final de la zona Truscuando se encuentra en la zona Untrust tiene una dirección pública. Cuando un dispen el modo NAT, debe asignarse una dirección IP pública a cada dispositivo que necuna dirección privada.

En este ejemplo, los dispositivos de la zona Trust son el host de punto final (10.1.1.(10.1.1.25). IP_Phone2 (2.2.2.5) está en la zona Untrust. Configurará el dispositivo entre el host de punto final “IP_Phone1” y el equipo selector en la zona Trust y el hosla zona Untrust. Las dos zonas de seguridad Trust y Untrust se encuentran en el do

WebUI


Zone Name: Trust



Seleccione los siguientes datos y haga clic en

Interface Mode: NAT

Equipo selector

10.1.1.25IP_Phone1

10.1.1.5


ethernet31.1.1.1/24

Zona Trust Zona

MIP 1.1.1.25 -> 10.1.1.25MIP 1.1.1.5 -> 10.1.1.5

Puerta de1.1.1.2


187


e)

lic en OK :

lic en OK :

lic en OK :



Zone Name: Untrust




Address Name: IP_Phone1



Zone: Trust





Zone: Trust





Zone: Untrust


188

guientes datos y haga clic en




3. Direcciones IP asignadasNetwork > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los siOK :

Mapped IP 1.1.1.5

Netmask: 255.255.255.255



Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los si OK :

Mapped IP 1.1.1.25

Netmask: 255.255.255.255









189

haga clic en OK :

e1

e2

haga clic en OK :

per

e2

haga clic en OK :

e2

1.5)



Source Address:




Service: H.323

Action: Permit


Source Address:




Service: H.323

Action: Permit


Source Address:




Service: H.323

Action: Permit


190

haga clic en OK :

e2

.1.25)

gateway 1.1.1.250



Source Address:



Address Book Entry: (seleccione), MIP(1.1

Service: H.323

Action: Permit

CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat


2. Direccionesset address trust IP_Phone1 10.1.1.5/32set address trust gatekeeper 10.1.1.25/32set address untrust IP_Phone2 2.2.2.5/32

3. Direcciones IP asignadasset interface ethernet3 mip 1.1.1.5 host 10.1.1.5set interface ethernet3 mip 1.1.1.25 host 10.1.1.25



191

23 permit323 permith.323 permit) h.323 permit

es sobre un límite NAT. Para ación dinámica. Esto difiere de nes de origen.

suario o DIP (interface) cuando utilizar tales entradas de P o otros protocolos VoIP (voz

clave “incoming” ordena al

a Untrust

et


5. Directivasset policy from trust to untrust IP_Phone1 IP_Phone2 h.3set policy from trust to untrust gatekeeper IP_Phone2 h.set policy from untrust to trust IP_Phone2 mip(1.1.1.5) set policy from untrust to trust IP_Phone2 mip (1.1.1.25save

Ejemplo: Llamadas entrantes con NATEn este ejemplo configurará el dispositivo NetScreen para aceptar llamadas entrantello puede crear un conjunto de direcciones DIP para direcciones de destino de asignla mayoría de configuraciones, en las que un conjunto DIP sólo proporciona direccio

El nombre del conjunto de DIP puede ser DIP (id _num) para un DIP definido por el uel conjunto de DIP utilice la misma dirección que una dirección IP de interfaz. Puededirecciones como direcciones de destino en directivas, junto con servicios H.323, SIsobre IP) para admitir llamadas entrantes.

En el ejemplo siguiente se utiliza DIP en una configuración VoIP H.323. La palabra dispositivo agregar las direcciones DIP y de interfaz a la zona global.

Zona Trust Zon

Conjunto de DIP con ID 5

1.1.1.12 ~ 1.1.1.150

ethernet31.1.1.1/24

InternLAN



192


e)

OK :


e)


.1.1.150

econdary IPs: (seleccione)


WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: Untrust



2. DIP con NAT entranteNetwork > Interface > Edit (para ethernet3) > DIP > New: Introduzca los sigu

ID: 5

IP Address Range: (seleccione), 1.1.1.12 ~ 1


In the same subnet as the interface IP or its s

Incoming NAT: (seleccione)


193



haga clic en OK :

es1


3. DireccionesObjects > Addresses > List > New (para Trust): Introduzca los siguientes da

Address Name: IP_Phones1



Zone: Trust

Objects > Addresses > List > New (para Untrust): Introduzca los siguientes




Zone: Untrust


Source Address:




Service: H.323

Action: Permit


194

haga clic en OK :

e2

g

t src dip 5 permitpermit



Source Address:



Address Book Entry: (seleccione), DIP(5)

Service: H.323

Action: Permit

CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. DIP con NAT entranteset interface ethernet3 dip 5 1.1.1.12 1.1.1.150 incomin

3. Direccionesset address trust IP_Phones1 10.1.1.5/24set address untrust IP_Phone2 2.2.2.5/32

4. Directivasset policy from trust to untrust IP_Phones1 any h.323 naset policy from untrust to trust IP_Phone2 dip(5) h.323 save


195

entran en la zona Untrust y el ra permitir tráfico entre el host

a Untrust. Las dos zonas de


e)

OK:

hone22.2.5

nternetust


Ejemplo: Equipo selector en la zona Untrust con NATEn este ejemplo, el equipo selector (2.2.2.25) y el host IP_Phone2 (2.2.2.5) se encuhost IP_Phone1 (10.1.1.5) en la zona Trust. Configurará el dispositivo NetScreen paIP_Phone1 en la zona Trust y el host IP_Phone2 (más el equipo selector) en la zonseguridad Trust y Untrust se encuentran en el dominio de enrutamiento trust-vr.

WebUI


Zone Name: Trust




Interface Mode: NAT

ethernet31.1.1.1/24

Puerta de enlace 1.1.1.250


IP_Phone110.1.1.5

Equipo selector2.2.2.25

IP_P2.

IZona Trust Zona Untr

MIP 1.1.1.5 -> 10.1.1.5

LAN


196


e)

lic en OK :

lic en OK :

lic en OK :



Zone Name: Untrust







Zone: Trust





Zone: Untrust





Zone: Untrust


197

guientes datos y haga clic


haga clic en OK :

e1

e2


3. Dirección IP asignadaNetwork > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los sien OK :

Mapped IP 1.1.1.5

Netmask: 255.255.255.255








Source Address:




Service: H.323

Action: Permit


198

haga clic en OK :

e1

per

haga clic en OK :

e2

1.5)

haga clic en OK :

per

1.5)



Source Address:




Service: H.323

Action: Permit


Source Address:




Service: H.323

Action: Permit


Source Address:




Service: H.323

Action: Permit


199

gateway 1.1.1.250

23 permit323 permith.323 permit h.323 permit


CLI



2. Direccionesset address trust IP_Phone1 10.1.1.5/32set address untrust gatekeeper 2.2.2.25/32set address untrust IP_Phone2 2.2.2.5/32

3. Direcciones IP asignadasset interface ethernet3 mip 1.1.1.5 host 10.1.1.5


5. Directivasset policy from trust to untrust IP_Phone1 IP_Phone2 h.3set policy from trust to untrust IP_Phone1 gatekeeper h.set policy from untrust to trust IP_Phone2 mip(1.1.1.5) set policy from untrust to trust gatekeeper mip(1.1.1.5)save


200

o “SIP”) conforme al estándar del ” o “IETF”) en el que se define

siones pueden ser de o la mensajería inmediata

o SIP, permitiéndolo o definido en ScreenOS y utiliza

ta, para negociar y modificar

cripción de la sesión indica el IP puede utilizar diversos

sesión (“Session Description

sesión multimedia. SDP puede ve que la dirección IP y el ” y “m=”, respectivamente) multimedia (“streams”), y no unque pueden coincidir). Para

y en las correspondientes establecer una sesión (o uta en los puntos finales de la o “UAC”), que envía peticiones o “UAS”), que escucha las o pueden citarse los servidores


Protocolo de inicio de sesión (“Session Initiation Protocol”El protocolo de inicio de sesión (“Session Initiation Protocol” o “SIP”) es un protocoloequipo de ingeniería para el desarrollo de Internet (“Internet Engineering Task Forcecómo iniciar, modificar y finalizar sesiones multimedia a través de Internet. Estas seconferencias, telefonía o transferencias de datos multimedia, con prestaciones com(“instant messaging”) y la movilidad de aplicaciones en entornos de red.

Los dispositivos NetScreen admiten SIP como servicio y pueden monitorizar el tráficrechazándolo según una directiva configurada por el usuario. SIP es un servicio preel puerto 5060 como puerto de destino.

Esencialmente, SIP se utiliza para distribuir la descripción de la sesión y, durante éssus parámetros. SIP también se utiliza para terminar una sesión multimedia.

El usuario incluye la descripción de la sesión en una petición INVITE o ACK. La destipo de multimedia de la sesión, por ejemplo, voz o vídeo. Para describir la sesión, Sprotocolos de descripción; NetScreen sólo admite el protocolo de descripción de la Protocol” o “SDP”).

SDP proporciona la información necesaria para que un sistema pueda unirse a una proporcionar datos como direcciones IP, números de puerto, fechas y horas. Obsernúmero de puerto que figuran en el encabezado del protocolo SDP (los campos “c=corresponden a la dirección y al puerto donde el cliente desea recibir las secuenciasrepresentan la dirección IP y el número de puerto donde se origina la petición SIP (aobtener más información, consulte “SDP” en la pàgina 207.

Los mensajes del protocolo SIP consisten en peticiones de un cliente a un servidor respuestas a esas peticiones enviadas por el servidor al cliente con el propósito de llamada). Un agente de usuario (“User Agent” o “UA”) es una aplicación que se ejecllamada y consta de dos partes: el cliente del agente de usuario (“User Agent Client”SIP de parte del usuario, y un servidor del agente del usuario (“User Agent Server” respuestas y notifica al usuario cuando llegan. Como ejemplos de agentes de usuariproxy SIP y los teléfonos SIP.


201

respuesta, cada uno con un tes tipos de métodos y códigos

articipar en una sesión. El En el modo NAT, las tact:, Route: y Record-Route: .

confirmar la recepción de la nía la descripción de la sesión, en los campos de encabezado gún consta en la tabla

n sobre las capacidades del todos, protocolos de NAT, cuando la petición

el ALG del protocolo SIP rección IP correspondiente al el NAT, el ALG del SIP traduce ados SIP” en la pàgina 219.

etición BYE de cualquier IP en los campos de modifican según consta en la

petición INVITE pendiente. la petición INVITE envió una odo NAT, las direcciones IP en ord-Route: se modifican según


Métodos de petición del protocolo SIPEl modelo transaccional del SIP contempla una serie de mensajes de petición y de campo method que describe el propósito del mensaje. ScreenOS admite los siguiende respuesta:

• INVITE: Un usuario envía una petición INVITE para invitar a otro usuario a pcuerpo de una petición INVITE puede contener la descripción de la sesión. direcciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Conse modifican según consta en la tabla “Encabezados SIP” en la pàgina 219

• ACK: El usuario que generó la petición INVITE envía una petición ACK pararespuesta final a la invitación INVITE. Si la petición INVITE original no conteentonces la petición ACK debe incluirla. En el modo NAT, las direcciones IPVia:, From:, To:, Call-ID:, Contact:, Route: y Record-Route: se modifican se“Encabezados SIP” en la pàgina 219.

• OPTIONS: Utilizado por el agente del usuario (UA) para obtener informacióproxy del protocolo SIP. Un servidor responde con información sobre los médescripción de sesiones y codificación de mensajes que admite. En el modoOPTIONS se envía desde un NAT fuera del UA a un NAT dentro del proxy,traduce la dirección en Request-URL y la dirección IP del campo To: a la dicliente interno. Cuando el UA se encuentra dentro del NAT y el proxy fuera dlos campos From:, Via: y Call-ID: según se muestra en la tabla en “Encabez

• BYE: Un usuario envía una petición BYE para abandonar una sesión. Una pusuario cierra automáticamente la sesión. En el modo NAT, las direccionesencabezado Via:, From:, To:, Call-ID:, Contact:, Route: y Record-Route: se tabla “Encabezados SIP” en la pàgina 219.

• CANCEL: Un usuario puede enviar una petición CANCEL para cancelar unaUna petición CANCEL no tiene ningún efecto si el servidor SIP que procesórespuesta final a dicho INVITE antes de recibir la petición CANCEL. En el mlos campos de encabezado Via:, From:, To:, Call-ID:, Contact:, Route: y Recconsta en la tabla “Encabezados SIP” en la pàgina 219.


202

istrar SIP para informarle de la rmación que recibe en las rvidor SIP que intente localizar o sigue:

r de registro interno: Cuando el n IP, si existe, en el cciones MIP o VIP. Para la

xterno: Cuando el ALG del SIP s campos To:, From:, Via:, n inversa.

lo largo de la ruta de señales bezado Via:, From:, To:, tabla “Encabezados SIP” en la

do a un nodo remoto. En el ada si los mensajes proceden os de encabezado Via:, From:, n la tabla “Encabezados SIP”

ue están suscritos. En el modo a en una dirección IP privada si IP en los campos de modifica según consta en la

un tercero mediante la irección Request-URI se na y entra en la red interna. Las tact:, Route: y Record-Route: .


• REGISTER: Un usuario envía una petición REGISTER a un servidor de regubicación actual del usuario. El servidor de registro SIP registra toda la infopeticiones REGISTER y pone esta información a disposición de cualquier sea un usuario. En el modo NAT, las peticiones REGISTER se gestionan com

– Peticiones REGISTER procedentes de un cliente externo a un servidoALG del SIP recibe la petición REGISTER entrante traduce la direccióRequest-URL. Sólo se permiten mensajes REGISTER entrantes a direrespuesta saliente no se requiere traducción.

– Peticiones REGISTER procedentes de un cliente interno a un registro erecibe la petición REGISTER saliente, traduce las direcciones IP de loCall-ID: y Contact:. Para la respuesta entrante se realiza una traducció

• Info: Utilizado para comunicar la información de señales durante la sesión apara la llamada. En el modo NAT, las direcciones IP en los campos de encaCall-ID:, Contact:, Route: y Record-Route: se modifican según consta en la pàgina 219.

• Subscribe: Utilizado para solicitar el estado actual y actualizaciones de estamodo NAT, la dirección Request-URI se transforma en una dirección IP privde la red externa y entran en la red interna. Las direcciones IP en los campTo:, Call-ID:, Contact:, Route: y Record-Route: se modifican según consta een la pàgina 219.

• Notify: Se envía para informar a suscriptores sobre cambios en el estado al qNAT, la dirección IP en el campo de encabezado Request-URI se transformel mensaje procede de la red externa y entra en la red interna. La direcciónencabezado Via:, From:, To:, Call-ID:, Contact:, Route: y Record-Route: se tabla “Encabezados SIP” en la pàgina 219.

• Refer: Se utiliza para enviar al destinatario (identificado por Request-URI) ainformación de contacto proporcionada en la petición. En el modo NAT, la dtransforma en una dirección IP privada si el mensaje procede de la red exterdirecciones IP en los campos de encabezado Via:, From:, To:, Call-ID:, Conse modifican según consta en la tabla “Encabezados SIP” en la pàgina 219


203

ra el usuario B, que se la red privada, el ALG del SIP rio B pueda ponerse en r de registro, su asignación de ucción.

actualizada. Los campos de modifican según consta en la

car el estado de una la tabla en “Encabezados SIP”


Por ejemplo, si el usuario A de una red privada establece una referencia paencuentra en una red pública, hacia el usuario C, que también pertenece a asigna nueva dirección IP y número de puerto al usuario C para que el usuacontacto con él. Sin embargo, si el usuario C está registrado con un servidopuertos se almacena en la tabla ALG NAT y se reutiliza para realizar la trad

• Update: Se utiliza para abrir un ojo de aguja para información SDP nueva oencabezado Via:, From:, To:, Call-ID:, Contact:, Route: y Record-Route: se tabla “Encabezados SIP” en la pàgina 219.

• Códigos de respuesta 1xx, 202, 2xx, 3xx, 4xx, 5xx, 6xx: Utilizados para inditransacción. Los campos del encabezado se modifican según se muestra enen la pàgina 219.


204

os códigos agrupados en las

petición

e puede ejecutar en este

entemente válida

el protocolo SIP. NetScreen

all is being forwarded viando llamada)

oved temporarily (Movido ralmente)


Clases de respuestas SIP

Los códigos de respuesta indican el estado de una transacción SIP y consisten en lclases siguientes:

• Informativos (100 a 199): petición recibida, continúa procesando la petición

• Éxito (200 a 299): acción recibida correctamente, comprendida y aceptada

• Redirección (300 a 399): se requiere una acción adicional para completar la

• Error del cliente (400 a 499): la petición es sintácticamente incorrecta o no sservidor

• Error del servidor (500 a 599): el servidor no pudo cumplir una petición apar

• Fallo global (600 a 699): la petición no se puede realizar en ningún servidor

A continuación se incluye una lista completa de los actuales códigos de respuesta dadmite todos.

1xx 100 Trying (Intentando) 180 Ringing (Llamando) 181 C(Reen

182 Queued (En cola) 183 Session progress (Progreso de la sesión)

2xx 200 OK 202 Accepted (Aceptado)

3xx 300 Multiple choices (Varias opciones)

301 Moved permanently (Movido permanentemente)

302 Mtempo

305 Use proxy (Utilizar proxy) 380 Alternative service (Servicio alternativo)


205

ayment required (Requiere

ethod not allowed (Método no tido)

equest time-out (Petición ada)

ength required (Requiere d)

nsupported media type (Tipo de incompatible)

all leg/transaction does not exist o de la llamada o transacción tente)

ddress incomplete (Dirección pleta)

equest cancelled (Petición lada)

ad gateway (Puerta de enlace ecta)

IP version not supported ón de SIP incompatible)

oes not exist anywhere (No en ninguna parte)


4xx 400 Bad request (Petición incorrecta)

401 Unauthorized (No autorizado) 402 Ppago)

403 Forbidden (Prohibido) 404 Not found (No encontrado) 405 Mpermi

406 Not acceptable (No aceptable)

407 Proxy authentication required (Requiere autenticación del proxy)

408 Rcaduc

409 Conflict (Conflicto) 410 Gone (Ausente) 411 Llongitu

413 Request entity too large (Tamaño de la petición excesivo)

414 Request-URL too large (URL de la petición demasiado grande)

415 Umedio

420 Bad extension (Extensión incorrecta)

480 Temporarily not available (Temporalmente no disponible)

481 C(Traminexis

482 Loop detected (Detectado bucle)

483 Too many hops (Demasiado saltos)

484 Aincom

485 Ambiguous (Ambiguo) 486 Busy here (Ocupado aquí) 487 Rcance

488 Not acceptable here (No aceptable aquí)

5xx 500 Server internal error (Error interno del servidor)

501 Not implemented (No implementado)

502 Bincorr

502 Service unavailable (Servicio no disponible)

504 Gateway time-out (Puerta de enlace caducada)

505 S(Versi

6xx 600 Busy everywhere (Ocupado en todas partes)

603 Decline (Declinar) 604 Dexiste

606 Not acceptable (No aceptable)


206

ms”). El tráfico de señalización nte y el servidor y utiliza

datos (por ejemplo, de audio), y po real (“Real-time Transport

. Basta con crear una directiva ización SIP como cualquier otro , utiliza números de puertos

na llamada. Sin puertos fijos es edia. En este caso, el tocolo SIP y su contenido SDP pequeños6 ojos de aguja por

os de aguja basándose en la s métodos y respuestas del lases de respuestas SIP” en la

tScreen creando una directiva ara que intercepte tráfico SIP y LG para abrir ojos de aguja por para las peticiones y jes SIP que no contienen SDP,


ALG – Application-Layer GatewayExisten dos tipos de tráfico SIP, el de señalización y las secuencia de medios (“streade SIP consiste en mensajes de petición y de respuesta intercambiados entre el clieprotocolos de transporte como UDP o TCP. La secuencia multimedia transporta los utiliza protocolos de la capa de aplicación tales como protocolo de transporte en tiemProtocol” o “RTP”) sobre UDP.

Los dispositivos NetScreen admiten mensajes de señalización SIP en el puerto 5060que permita el servicio SIP para que el dispositivo NetScreen filtre el tráfico de señaltipo de tráfico, permitiéndolo o rechazándolo. La secuencia multimedia, sin embargoasignados dinámicamente y que pueden cambiar varias veces durante el curso de uimposible crear una directiva de direcciones estáticas para controlar el tráfico multimdispositivo NetScreen invoca el ALG de SIP. El ALG de SIP lee los mensajes del proy extrae la información del número de puerto que necesita para abrir dinámicamentelos que permitir a la secuencia de medios atravesar el dispositivo NetScreen.

SIP ALG supervisa las transacciones SIP y crea y administra dinámicamente los “ojinformación que extrae de esas transacciones. NetScreen SIP ALG admite todos loprotocolo SIP (consulte “Métodos de petición del protocolo SIP” en la pàgina 201 y “Cpàgina 204). Puede permitir a las transacciones SIP atravesar el cortafuegos de Neestática que permita el servicio SIP. Esta directiva habilita el dispositivo NetScreen pejecute una de las siguientes acciones: permitir o denegar el tráfico o habilitar SIP Alos que entregar la secuencia multimedia. SIP ALG sólo necesita abrir ojos de agujarespuestas SIP que contienen información multimedia (SDP). En cuanto a los mensael dispositivo NetScreen simplemente los deja pasar.

6. Por “ojo de aguja” se entiende la apertura limitada de un puerto para permitir determinado tráfico exclusivo.


207

r sintáctico, extrae la P del paquete y un analizador registra en una tabla de ojos

la tabla de ojos de aguja para ispositivo NetScreen.

eden contener información de ientras que la información a de sesión SDP siempre er información a nivel de

tiles para SIP ALG porque s:

ste formato:

e Internet) como tipo de red, st como dirección IP de destino

tScreen recibe un mensaje SIP rtafuegos, pero genera un te. Si SDP está encriptado, SIP uentemente, el contenido

een no admite multicast con SIP.


SIP ALG intercepta los mensajes SIP que contienen SDP y, utilizando un analizadoinformación que requiere para crear ojos de aguja. SIP ALG examina la porción SDsintáctico extrae datos tales como direcciones IP y números de puerto, que SIP ALGde aguja. SIP ALG utiliza las direcciones IP y los números de puerto registrados en abrir nuevos ojos de aguja que permitan a las secuencias multimedia atravesar el d

SDPLas descripciones de sesiones SDP consisten en un conjunto de líneas de texto. Pula sesión y del medio. La información a nivel de sesión se refiere a toda la sesión, mnivel de medio se refiere a una determinada secuencia multimedia. Una descripcióncontiene información a nivel de sesión al principio de la descripción, y puede contenmedio7, que se incluye después.

De los muchos campos presentes en la descripción SDP, dos son particularmente úcontienen la información de la capa de transporte. Ambos campos son los siguiente

• c= para información de la conexión

Este campo puede aparecer a nivel de sesión o de medio. Se muestra en e

c=<tipo de red><tipo de dirección><dirección de conexión>

Actualmente, el dispositivo NetScreen admite solamente “IN” (abreviatura d“IP4” como tipo de dirección y una dirección IP8 o nombre de dominio unica(conexión).

Nota: Los dispositivos NetScreen no admiten SDP encriptado. Si un dispositivo Necon el SDP encriptado, SIP ALG permite de todos modos que pase a través del comensaje para el registro informando al usuario de que no puede procesar el paqueALG no puede extraer la información que necesita para abrir ojos de aguja. Consecmultimedia descrito en el SDP no puede atravesar el dispositivo NetScreen.

7. En la descripción de la sesión SDP, la información a nivel del medio comienza con el campo “m=”.

8. Generalmente, la dirección IP de destino también puede ser una dirección IP multicast, pero por el momento NetScr


208

de aguja usando la dirección IP os m=.

Se muestra en este formato:

io y “RTP” como protocolo de la secuencia multimedia (y no

protocolo de la capa de

ente para RTP y RTCP. Cada ” o protocolo de control del ecuencia multimedia utilice ico RTP como RTCP. De forma to RTP.

IP de destino. La dirección IP el campo “c=” puede aparecer de la descripción de la sesión en las reglas siguientes

campo “c=” que contenga una n IP y SIP ALG la utiliza para

de SIP ALG extrae la dirección un ojo de aguja para el medio. el, significa que existe un error l paquete y registra el evento.

icación.


Si la dirección IP de destino es una dirección IP unicast, SIP ALG crea ojos y los números de puerto especificados en el campo de descripción de medi

• m= para anuncio de medio

Este campo aparece a nivel de medios y contiene la descripción del medio.

m=<medio><puerto><transporte><lista de formatos>

Actualmente, el dispositivo NetScreen admite solamente “audio” como medtransporte de la capa de aplicación. El número de puerto indica el destino desu origen). La lista de formatos (“fmt list”) proporciona información sobre el aplicación utilizado por el medio.

En esta versión de ScreenOS, el dispositivo NetScreen abre puertos solamsesión RTP tiene una sesión RTCP9 (“Real-time Transport Control Protocoltransporte en tiempo real) correspondiente. Por lo tanto, siempre que una sRTP, SIP ALG debe reservar puertos (crear ojos de aguja) tanto para el tráfpredeterminada, el número de puerto para RTCP es el siguiente al del puer

Creación de ojos de agujaLos ojos de aguja para el tráfico RTP y RTCP comparten la misma direcciónprocede del campo “c=” en la descripción de sesión de SDP. Debido a que tanto en la porción del nivel de sesión como en la del nivel del medio dentroSDP, el analizador sintáctico (“parser”) determina la dirección IP basándose(siguiendo las convenciones de SDP):

– En primer lugar, el analizador sintáctico de SIP ALG verifica si hay un dirección IP en el nivel de medios. Si hay alguno, extrae dicha direcciócrear un ojo de aguja para el medio.

– Si no hay ningún campo “c=” a nivel de medio, el analizador sintácticoIP del campo “c=” en el nivel de sesión y SIP ALG la utiliza para crearSi la descripción de la sesión no contiene un campo “c=” en ningún niven la pila del protocolo, por lo que el dispositivo NetScreen descarta e

9. RTCP proporciona sincronización de medios e información sobre los miembros de la sesión y la calidad de la comun


209

n ojo de aguja. Esta s del dispositivo NetScreen:

o del campo “c=” en el nivel de

e destino para RTP del campo ara RTCP utilizando esta

ierto un ojo de aguja para o de aguja antes de que a.

ncia, inmediatamente después quete.

s clientes SIP y cómo SIP ALG asume que el dispositivo uerto 5060 para mensajes de


La lista siguiente muestra la información que SIP ALG necesita para crear uinformación procede de la descripción de la sesión SDP y de los parámetro

– Protocol: UDP

– Source IP: unknown

– Source port: unknown

– Destination IP: El analizador sintáctico extrae la dirección IP de destinmedio o de sesión.

– Destination port: El analizador sintáctico extrae el número del puerto d“m=” en el nivel de medios y calcula el número del puerto de destino pfórmula: RTP port number.

– Lifetime: Este valor indica el tiempo (en segundos) que permanece abpermitir el paso de un paquete. Un paquete debe pasar a través del ojcaduque este tiempo. Cuando caduca, SIP ALG elimina el ojo de aguj

Cuando un paquete atraviesa el ojo de aguja dentro del periodo de vigeSIP ALG elimina el ojo de aguja para el sentido de procedencia del pa

La ilustración siguiente describe una configuración de llamada entre docrea ojos de aguja para permitir el tráfico RTP y RTCP. La ilustración NetScreen tiene una directiva que permite el tráfico SIP, abriendo el pseñalización SIP.


210

Cliente SIP B2.2.2.2

ite la petición “INVITE” al

el medio (tráfico RTP/RTCP) vés del ojo de aguja 1

sta al proxy SIP con una ” (“Llamando”)

una respuesta “200 OK” al ntestación a la petición INVITE (dirección IP:número de

vía la respuesta “ACK” al

na Untrust


��

Cliente SIP A1.1.1.1

Dispositivo NetScreenProxy SIP

1. El Cliente A envía una petición “INVITE” destinada al Cliente B hacia el proxy SIP a través del puerto 5060 del dispositivo NetScreen SDP: 1.1.1.1:2000 (dirección IP:número de puerto)

3. El proxy SIP transmCliente B

11. El Cliente B envíaal Cliente A a tra

4. El Cliente B conterespuesta “Ringing5. El proxy SIP remite la respuesta “Ringing”

del Cliente B al Cliente A a través del puerto 5060 del dispositivo NetScreen

6. El Cliente B envíaproxy SIP como coSDP: 2.2.2.2:3000puerto)8. El proxy SIP reenvía la respuesta “200 OK”

del Cliente B al Cliente A a través del dispositivo NetScreen

9. El Cliente A envía una respuesta “ACK” destinada al Cliente B al proxy SIP a través del puerto 5060 del dispositivo NetScreen 10. El proxy SIP reen

Cliente B

ZoZona Trust2. Por SDP, SIP ALG crea un ojo de aguja para 1.1.1.1:2000

7. Por SDP, SIP ALG crea un ojo de aguja para 2.2.2.2:3000

Ojo de aguja 112. El Cliente A envía el medio (tráfico RTP/RTCP)

al Cliente B a través del ojo de aguja 2Ojo de aguja 2


211

YE o CANCEL. SIP ALG a llamada. Existen posibles BYE o CANCEL, por ejemplo, amente, consumiendo recursos al dispositivo NetScreen un periodo determinado de

sesiones (o dos secuencias de dispositivo NetScreen trata las espera por inactividad se

e un grupo:

gundos) que una llamada un mensaje SIP durante una

de 43.200 segundos (12 horas).

ndos) que una llamada puede tro de un grupo. Cada vez que pera se restablece. El ajuste

odas las sesiones de esa

a dirección IP de destino es en estado retenido (“on hold”), nvía al otro usuario (Usuario B) do se indica al Usuario B que

gún medio, el dispositivo


Tiempo de espera por inactividad de la sesiónNormalmente, una llamada termina cuando uno de los clientes envía una petición Bintercepta la petición BYE o CANCEL y elimina todas las sesiones de medios de escausas o problemas que impedirían a los clientes de una llamada enviar peticiones un fallo de alimentación eléctrica. En este caso, la llamada podría continuar indefiniden el dispositivo NetScreen. La función de tiempo de espera por inactividad permitesupervisar el “estado vital” de la llamada para terminarla si no hay actividad durantetiempo.

Una llamada puede tener uno o varios canales de voz. Cada canal de voz tiene dosmedios), una para RTP y otra para RTCP. En cuanto a la gestión de las sesiones, elsesiones de cada canal de voz como un grupo. Los ajustes tales como el tiempo deaplican a nivel de grupo, no a cada sesión.

Existen dos tipos de tiempo de espera por inactividad que determinan la duración d

• Signaling Inactivity Timeout: Este parámetro indica el tiempo máximo (en sepuede seguir activa sin que se señalice tráfico SIP. Cada vez que se generallamada, este tiempo de espera se restablece. El ajuste predeterminado es

• Media Inactivity Timeout: Este parámetro indica el tiempo máximo (en segupermanecer activa sin que se produzca tráfico de medios (RTP o RTCP) dense genera un paquete RTP o RTCP durante una llamada, este tiempo de espredeterminado es de 120 segundos.

Si cualquiera de estos tiempos de espera caduca, el dispositivo NetScreen elimina tllamada en su tabla, terminando de ese modo la llamada.

Nota: SIP ALG no crea ojos de aguja para el tráfico RTP y RTCP cuando l0.0.0.0 (ya que indica que la sesión está retenida). Para poner una sesión por ejemplo, durante una comunicación telefónica, un usuario (Usuario A) eun mensaje SIP en el cual la dirección IP de destino es 0.0.0.0. De este mono envíe ningún medio hasta nuevo aviso. Si aún así el Usuario B envía alNetScreen descarta los paquetes.


212

afectada por la repetición de , denegado inicialmente. Para r el comando sip protect deny TE y las correspondientes 3xx, 4xx o 5xx (véase “Clases dirección IP del servidor proxy es INVITE realizadas contra s), descarta cualquier paquete creen para que supervise las

destino. La protección contra

dor proxy de SIP (1.1.1.3/24) quetes se descartan durante o de peticiones INVITE

s por peticiones INVITE, debe


Protección contra ataques SIPLa capacidad de procesamiento de llamadas del servidor proxy del SIP puede versepeticiones INVITE del SIP, tanto malévolas como por error del cliente o del servidorimpedir que el servidor proxy del SIP sea saturado por tales peticiones, puede utilizapara configurar el dispositivo NetScreen de modo que supervise las peticiones INVIrespuestas del servidor proxy. Si alguna respuesta contiene un código de respuestade respuestas SIP” en la pàgina 204), ALG guarda la dirección IP de la petición y laen una tabla. El dispositivo NetScreen comprueba posteriormente todas las peticionesta tabla y, durante un número configurable de segundos (el predeterminado es treque coincida con entradas en la tabla. También puede configurar el dispositivo NetSpeticiones INVITE a un servidor proxy determinado especificando la dirección IP deataques del SIP se configura globalmente.

Ejemplo: SIP Protect DenyEn este ejemplo configurará el dispositivo NetScreen para que proteja un solo servicontra peticiones INVITE repetitivas a las que ya haya denegado el servicio. Los pacinco segundos, transcurridos los cuales el dispositivo NetScreen reanuda el reenvíprocedentes de esos orígenes.

WebUI

CLI

set sip protect deny dst-ip 1.1.1.3/24set sip protect deny timeout 5save

Nota: Para proteger servidores proxy del SIP contra inundaciones causadautilizar CLI.


213

o de medios0.000 segundos y el tiempo de

irección de destino. En este UDP que se pueden recibir en nere una alarma y descarte los

idad de medios, debe utilizar

nte específico de SIP. Para eterminar los ajustes más


Ejemplo: Tiempos de espera por inactividad de señalizaciónEn este ejemplo configurará el tiempo de espera por inactividad de señalización en 3espera por inactividad de medios en 90 segundos.

WebUI

CLI

set sip signaling-inactivity-timeout 30000set sip media-inactivity-timeout 90save

Ejemplo: Protección contra inundaciones UDPPuede proteger el dispositivo NetScreen contra inundaciones UDP por zona y por dejemplo, establecerá un umbral de 80.000 por segundo para el número de paquetesla dirección IP 1.1.1.5, en la zona Untrust, antes de que el dispositivo NetScreen gepaquetes subsiguientes durante el resto de ese segundo.

WebUI

Screening > Screen: Introduzca los siguientes datos y haga clic en Apply :

Zone: Untrust

UDP Flood Protection (seleccione)

Nota: Para establecer tiempos de espera para señalizaciones SIP e inactivCLI.

Nota: Este ejemplo utiliza un comando general de ScreenOS, y no es necesariameobtener más información sobre la protección contra inundaciones de UDP y cómo deficaces, consulte “Inundación UDP” en la pàgina 4 -69.


214

lic en la flecha Atrás de su gina de configuración de la

ld 80000

antes de la zona Untrust, Si el dispositivo NetScreen escartar los intentos ificado.

clic en OK :

nte específico de SIP. Para terminar los ajustes más

a 4 -42.


>Destination IP: Escriba lo siguiente y haga cexplorador de Internet para regresar a la pápantalla:

Destination IP: 1.1.1.5

Threshold: 80000

Add: (seleccione)

CLI

set zone untrust screen udp-flood dst-ip 1.1.1.5 threshosave

Ejemplo: Máximo de conexiones SIPEn este ejemplo impedirá ataques de inundación en la red SIP procedentes de atacestableciendo un máximo de 20 sesiones simultáneas desde una sola dirección IP. detecta más de 20 intentos de conexión desde la misma dirección IP, comienza a dsubsiguientes hasta que el número de sesiones caiga por debajo del máximo espec

WebUI

Screening > Screen (Zone: Untrust): Introduzca los siguientes datos y haga

Source IP Based Session Limit: (seleccione)

Threshold: 20 Sessions

CLI

set zone untrust screen limit-session source-ip-based 20save

Nota: Este ejemplo utiliza un comando general de ScreenOS, y no es necesariameobtener más información sobre límites de sesiones basados en orígenes y cómo deeficaces, consulte “Límites de sesiones según sus orígenes y destinos” en la pàgin


215

e una subred privada compartir emplaza la dirección IP privada rante, la dirección IP pública se subred privada.

ensajes del SIP contienen IP contienen información sobre cultarla a la red exterior. El sion Description Protocol” o los medios. El dispositivo a enviar y recibir los medios.

ajes SIP depende de la uerto privados del cliente se etScreen. Para los mensajes del cliente.

rmación del encabezado del ntes al punto de destino para los campos From:, To: y . Si llega un nuevo mensaje

signación NAT entre ellos y los s del protocolo en tiempo real Control Protocol” o “RTCP”), e puertos, descarta el mensaje


SIP con traducción de direcciones de red (NAT)El protocolo de traducción de direcciones de red (NAT) permite a múltiples equipos duna sola dirección IP pública para acceder a Internet. Para el tráfico saliente, NAT redel equipo dentro de la subred privada por la dirección IP pública. Para el tráfico enttransforma en la dirección privada y el mensaje se enruta al equipo apropiado de la

La utilización conjunta de NAT con el servicio SIP es más complicada, porque los mdirecciones IP tanto en los encabezados como en el cuerpo SIP. Los encabezados Sel llamante y el receptor, y el dispositivo NetScreen traduce esta información para ocuerpo del SIP contiene la información del protocolo de descripción de sesión (“Ses“SDP”), que contiene las direcciones IP y números de puerto para la transmisión deNetScreen traduce la información del SDP para asignar los recursos necesarios par

La forma en que se reemplazan las direcciones IP y los números de puerto en mensdirección del mensaje. Para los mensajes salientes, la dirección IP y el número de preemplazan por la dirección IP y el número de puerto públicos del cortafuegos de Nentrantes, la dirección pública del cortafuegos se reemplaza por la dirección privada

Cuando se envía un mensaje INVITE a través del cortafuegos, SIP ALG recoge infomensaje en una tabla de llamadas, que utiliza para reenviar los mensajes subsiguiecorrecto. Cuando llega un nuevo mensaje, por ejemplo un ACK o 200 OK, ALG comCall-ID: con la tabla de llamadas para identificar el contexto de llamada del mensajeINVITE que coincida con la llamada existente, ALG lo procesa como REINVITE.

Cuando llega un mensaje con información del SDP, ALG asigna puertos y crea una apuertos en el SDP. Dado que el SDP requiere puertos consecutivos para los canale(“Real Time Protocol” o “RTP”) y del protocolo de control en tiempo real (“Real TimeALG proporciona puertos pares-impares consecutivos. Si no encuentra ningún par dSIP.


216

a red interna hacia la red a un enlace para asignar las dos SIP de los campos Via:, ción IP del cortafuegos. ALG s de respuesta del SIP.

de medios a través del dose en la información del SDP ambién permiten que los oute:. Al procesar el tráfico de cord-Route: en los paquetes.

asignadas (MIP) o hacia configuradas tradas dinámicamente por servidor de registro del SIP. ndo el servidor de registro del ante, genera una sesión y

se en la información del SDP, K 200, el SIP ALG aplica NAT

ertas abiertas tienen un plazo K).

y lee las direcciones IP y aplica NAT a las direcciones y de espera para las puertas en


Llamadas salientesCuando una llamada del SIP se inicia mediante un mensaje de petición SIP desde lexterna, NAT reemplaza las direcciones IP y los números de puerto en el SDP y credirecciones IP y los números de puerto al cortafuegos de NetScreen. Los encabezaContact:, Route: y Record-Route:, si están presentes, también se vinculan a la direcalmacena estas asignaciones para utilizarlas en retransmisiones y para los mensaje

A continuación, SIP ALG abre ojos de aguja en el cortafuegos para permitir el paso dispositivo NetScreen por los puertos dinámicamente asignados, negociados basány de los campos de encabezado Via:, Contact: y Record-Route:. Los ojos de aguja tpaquetes entrantes alcancen las direcciones IP y puertos Contact:, Via: y Record-Rretorno, ALG vuelve a insertar los campos SIP originales Contact:, Via:, Route: y Re

Llamadas entrantesLas llamadas entrantes se inician desde la red pública hacia direcciones IP públicasdirecciones IP de interfaces del dispositivo NetScreen. Las MIPs son direcciones IPestáticamente que apuntan a hosts internos; las direcciones IP de interfaz son regisel ALG mientras supervisa los mensajes REGISTER enviados por hosts internos al (Para obtener más información, consulte “Soporte de llamadas SIP entrantes utilizaSIP” en la pàgina 226). Cuando el dispositivo NetScreen recibe un paquete SIP entrreenvía la carga de datos del paquete al SIP ALG.

El ALG examina el mensaje de petición del SIP (inicialmente un INVITE) y, basándoabre las puertas para los medios salientes. Cuando llega un mensaje de respuesta Oa las direcciones y puertos IP y abre ojos de aguja en la dirección de salida. (Las pude vida corto y caducan si no se recibe rápidamente un mensaje de respuesta 200 O

Cuando llega una respuesta OK 200, el proxy del SIP examina la información SDP números de puerto de cada sesión de medios. El SIP ALG del dispositivo NetScreennúmeros de puerto, abre ojos de aguja para el tráfico saliente y restablece el tiempola dirección de entrada.


217

contiene información del SDP, mbiados con respecto al vos para permitir el paso de los abre nuevos ojos de aguja si

al usuario B dentro de la red y l INVITE del usuario A como

B a C, que se encuentra fuera abre ojos de aguja en el ario C.

en recibe un mensaje BYE, o debido a que los mensajes je de la llamada durante cinco

llamada y para eliminar na llamada, se abren nuevos o es idéntico al establecimiento amada, los ojos de aguja se


Cuando llega la señal ACK de 200 OK, también atraviesa el SIP ALG. Si el mensajeel ALG del SIP garantiza que las direcciones IP y los números de puerto no sean caanterior INVITE; si lo son, el ALG elimina los ojos de aguja antiguos y crea otros nuemedios. El ALG también supervisa los campos SIP Via:, Contact: y Record-Route: ydetecta que estos campos han cambiado.

Llamadas reenviadasUna llamada es reenviada cuando, por ejemplo, el usuario A externo a la red llama éste reenvía la llamada al usuario C fuera de la red. El ALG del SIP procesa la señallamada entrante normal. Pero cuando el ALG examina la llamada reenviada desdede la red, y detecta que B y C se pueden alcanzar a través de la misma interfaz, nocortafuegos, ya que los medios podrán fluir directamente entre el usuario A y el usu

Terminación de la llamadaEl mensaje BYE se utiliza para terminar una llamada. Cuando el dispositivo NetScretraduce los campos del encabezado igual que hace con cualquier otro mensaje, perBYE debe ser confirmados por el receptor con 200 OK, el ALG retrasa el desmontasegundos para dar tiempo a que se transmita el 200 OK.

Mensajes de llamada Re-INVITELos mensajes Re-INVITE se utilizan para agregar nuevas sesiones de medios a unasesiones de medios existentes. Cuando se agregan nuevas sesiones de medios a uojos de aguja en el cortafuegos y se crean nuevos enlaces de direcciones. El procesoriginal de la llamada. Cuando se eliminan una o más sesiones de medios de una llcierran y los enlaces se anulan, igual que con un mensaje BYE.


218

ibe ningún mensaje Re-INVITE ta 200 OK al INVITE y utiliza que la sesión caduque,

predeterminados, y el proceso

ados para definir el tiempo esté protegido en los siguientes

recibe nunca.

IP.

ute y nunca envían un mensaje

En el momento de recibir un do el cortafuegos y libera los l canal de control durante unos mina cuando expira el tiempo .

s destinos simultáneamente. a, el ALG del SIP analiza pero ecibe.


Temporizadores de sesiones de llamadasEl ALG del SIP utiliza el valor Session-Expires para caducar una sesión si no se reco UPDATE. El ALG obtiene el valor Session-Expires, si está presente, de la respueseste valor para señalizar el tiempo de espera. Si el ALG recibe otro INVITE antes derestablece todos los valores del tiempo de espera a este nuevo INVITE o a valores se repite.

Como medida preventiva, el ALG del SIP utiliza valores de tiempo de espera codificmáximo que una llamada puede existir. Esto garantiza que el dispositivo NetScreen casos:

• El sistema final se viene abajo durante una llamada y el mensaje BYE no se

• Usuarios malévolos nunca envían un BYE para intentar atacar un ALG de S

• Implementaciones pobres del proxy del SIP no pueden procesar Record-RoBYE.

• Fallos de red impiden la recepción de un mensaje BYE.

Cancelación de la llamadaCualquier interlocutor puede cancelar una llamada enviando un mensaje CANCEL. mensaje CANCEL, el ALG del SIP cierra los ojos de aguja (que haya abiertos) en toenlaces de direcciones. Antes de liberar los recursos, el ALG retrasa la caducidad decinco segundos para dar tiempo a que pase la señal 200 OK final. La llamada se terde espera de cinco segundos, tanto si llega una respuesta 487 como una “non-200”

BifurcaciónLa bifurcación permite a un proxy del SIP enviar un solo mensaje INVITE a múltipleCuando llegan los diferentes mensajes de respuesta 200 OK para esa única llamadactualiza la información de la llamada con el mensaje primer mensaje 200 OK que r


219

uerpo SIP. En mensajes de cluye el tipo de método, es la línea de estado, que

números de puerto utilizados línea en blanco, está reservado ispositivos NetScreen sólo de puerto utilizados para

s SIP para ocultar la ignar recursos, es decir,

nes IP en los campos del


Mensajes del SIPEl formato de un mensaje del SIP consta de una sección de encabezado SIP y del cpetición, la primera línea de la sección de encabezado es la línea de petición, que inRequest-URL y la versión del protocolo. En mensajes de respuesta, la primera líneacontiene un código de estado. Los encabezados SIP contienen las direcciones IP ypara la señalización. El cuerpo SIP, separado de la sección de encabezado por una para la información de descripción de la sesión, que es opcional. Actualmente, los dadmiten el protocolo SDP. El cuerpo SIP contiene las direcciones IP y los números transportar los medios.

En el modo NAT, el dispositivo NetScreen traduce la información de los encabezadoinformación a la red exterior. NAT se aplica a la información del cuerpo SIP para asnúmeros de puerto en los que se recibirán los medios.

Encabezados SIPEn el siguiente ejemplo de mensaje de petición del SIP, NAT reemplaza las direccioencabezado, mostrados en negrita, para ocultarlos a la red exterior.

INVITE [email protected] SIP/2.0Via: SIP/2.0/UDP 10.150.20.3:5434From: [email protected]: [email protected]: [email protected]: [email protected]:5434Route: <sip:[email protected]:5060>Record-Route: <sip:[email protected]:5060>


220

n del mensaje, que puede ser

ve que, para varios de los interior o exterior de los na petición o una respuesta.

r dirección ALG por dirección local



El método aplicado para traducir las direcciones IP depende del tipo y de la direccióuno de los siguientes:

• Petición entrante

• Respuesta saliente

• Petición saliente

• Respuesta entrante

La tabla siguiente muestra cómo se aplica NAT en cada uno de estos casos. Obsercampos de encabezado, el ALG necesita saber algo más que la mera procedencia mensajes. También necesita saber qué cliente inició la llamada y si el mensaje es u

Tipo de mensaje Campos AcciónPetición entrante(de pública a privada)

To: Reemplaza

From: Ninguna

Call-ID: Ninguna

Via: Ninguna

Request-URL: Reemplaza

Contact: Ninguna

Record-Route: Ninguna

Route: Ninguna


221


r dirección local por dirección ALG









Respuesta saliente(de privada a pública)

To: Reemplaza

From: Ninguna

Call-ID: Ninguna

Via: Ninguna

Request-URL: N/D

Contact: Reemplaza

Record-Route: Reemplaza

Route: Ninguna

Petición saliente(de privada a pública)

To: Ninguna

From: Reemplaza

Call-ID: Reemplaza

Via: Reemplaza

Request-URL: Ninguna

Contact: Reemplaza


Route: Reemplaza

Tipo de mensaje Campos Acción


222







Respuesta saliente(de pública a privada)

To: Ninguna

From: Reemplaza

Call-ID: Reemplaza

Via: Reemplaza

Request-URL: N/D

Contact: Ninguna


Route: Reemplaza

Tipo de mensaje Campos Acción


223

rear canales para la secuencia eros de puerto para enviar y

la asignación de recursos.

es similar a adjuntar varios do desde un cliente SIP a un

dirección, hasta un total de 12 7.

el dispositivo NetScreen egrilla.

ir medios. Observe que el ojo P y RTP. El ojo de aguja


Cuerpo SIPLa información SDP en el cuerpo SIP contiene direcciones IP que ALG utiliza para cde medios. La traducción de la sección SDP también asigna recursos, es decir, númrecibir los medios.

El siguiente extracto de una sección SDP muestra los campos que se traducen para

o=user 2344234 55234434 IN IP4 10.150.20.3c=IN IP4 10.150.20.3m=audio 43249 RTP/AVP 0

Los mensajes SIP pueden contener más de una secuencia de medios. El concepto archivos a un mensaje de correo electrónico. Por ejemplo, un mensaje INVITE enviaservidor SIP puede tener los siguientes campos:

c=IN IP4 10.123.33.4m=audio 33445 RTP/AVP 0c=IN IP4 10.123.33.4m=audio 33447 RTP/AVP 0c=IN IP4 10.123.33.4m=audio 33449 RTP/AVP 0

Los dispositivos NetScreen admiten hasta seis canales SDP negociados para cada canales por llamada. Para obtener más información, consulte “SDP” en la pàgina 20

Supuesto de NAT con el protocolo SIPEn la ilustración siguiente, ph1 envía un mensaje SIP INVITE a ph2. Observe cómotraduce las direcciones IP en los campos del encabezado, mostrados en fuente en n

La sección SDP del mensaje INVITE indica dónde el llamante está dispuesto a recibde aguja de los medios contiene dos números de puertos, 52002 y 52003, para RTCVia/Contact proporciona el número de puerto 5060 para la señalización del SIP.


224

el mensaje INVITE se invierten. s se abren para permitir el

na

6.6.6.2 SIP ph2

6.6.2 SIP/2.0 6.6.1 : 1234 .6.1

ation/sdp

IP4 6.6.6.1

/AVP 0


Observe cómo, en el mensaje de respuesta 200 OK, las traducciones realizadas en Las direcciones IP de este mensaje, al ser públicas, no se traducen, pero las puertaacceso de la secuencia de medios a la red privada.

.

��


SIP ph1 5.5.5.1

6.6.6.152002/52003

5.5.5.1

45002/45003

Ojo de aguja de los medios

5.5.5.2 6.6.6.1

Red interna Red exter

5.5.5.1

5060

Ojo de aguja Via/Contact

INVITE Sip: [email protected] SIP/2.0 Via: SIP/2.0/UDP 5.5.5.1 :5060 Call-ID: a1234 @5.5.5.1 From: ph1@ 5.5.5.1 To: [email protected] CSeq 1 INVITE Content-type: application/sdp Content-Length: 98

V=O o=ph1 3123 1234 IP IP4 5.5.5.1 c=IN IP4 5.5.5.1 m=audio 45002 RTP/AVP 0

INVITE Sip: [email protected]: SIP/2.0/UDP 6.Call-ID: [email protected]: ph1@ 6.6.6.1 To: [email protected] CSeq 1 INVITE Content-type: applicContent-Length: 98

V=O o=ph1 3123 1234 IPc=IN IP4 6.6.6.1 m=audio 52002 RTP

Cualquier IP

Cualquier puerto

6.6.6.11234

Cualquier IP

Cualquier puerto


225

na

6.6.6.2 SIP ph2

.6.2 SIP/2.0

P 6.6.6.1 : 1234

@6.6.6.1 6.6.1 .2 pplication/sdp : 98

6.6.6 : 5060

5642 IP IP4

2 RTP/AVP 0


��


SIP ph1 5.5.5.1 5.5.5.2 6.6.6.1

Red interna Red exter

Cualquier IP

Cualquier puerto

Cualquier IP

Cualquier puerto

6.6.6.262002/62003

6.6.6.25060

Ojo de aguja de los medios

Ojo de aguja Via/Contact

ACK SIP:[email protected] SIP/2.0. . . . ACK SIP:[email protected]

. . . .

SIP/2.0 200 OKVia: SIP/2.0/UDCall-ID: a1234From: ph1@ 6.To: ph2@ 6.6.6CSeq 1 INVITEContent-type: aContent-LengthContact: sip 6.

V=0 o=ph2 5454 566.6.6.2 c=IN IP4 6.6.6.m=audio 62002

SIP/2.0 200 OK Via: SIP/2.0/UDP 5.5.5.1 :5060 Call-ID: a1234 @5.5.5.1 From: ph1@ 5.5.5.1 To: [email protected] CSeq 1 INVITE Content-type: application/sdp Content-Length: 98

V=0 o=ph2 5454 565642 IP IP4 6.6.6.2 c=IN IP4 6.6.6.2 m=audio 62002 RTP/AVP 0


226

gistro del SIPxies y servidores de os. Un usuario registra una o

ro. Los campos To: y Contact: a URI de contacto, según que asocia la dirección del

estas direcciones y almacena nsaje INVITE desde fuera de la st interno enrutar el mensaje

as entrantes configurando DIP de interfaz es adecuado para

onjuntos de DIP se recomienda

IP sólo se admite para los

y TCP. Actualmente tampoco direcciones IP, según muestra


Soporte de llamadas SIP entrantes utilizando el servidor de reEl registro del SIP proporciona una función de descubrimiento que permite a los proubicaciones SIP identificar las ubicaciones donde los usuarios desean ser contactadmás ubicaciones de contacto enviando un mensaje REGISTER al servidor de registdel mensaje REGISTER contienen la URI de la dirección del registro y al menos unmuestra la ilustración siguiente. El registro crea enlaces en un servicio de ubicaciónregistro a la dirección o a las direcciones de contacto.

El dispositivo NetScreen supervisa los mensajes REGISTER salientes, aplica NAT ala información en una tabla de DIP entrante. A continuación, cuando se recibe un mered, el dispositivo NetScreen utiliza la tabla de DIP entrante para identificar a qué hoINVITE. Puede aprovechar el servicio de registro del proxy SIP para permitir llamadde interfaz o conjuntos de DIP en la interfaz de salida del dispositivo NetScreen. DIPgestionar llamadas entrantes en una pequeña oficina, mientras que la creación de cpara redes más grandes o entornos empresariales.

Nota: El soporte de llamadas entrantes usando DIP de interfaz o un conjunto de Dservicios SIP y H.323.

Para llamadas entrantes, actualmente los dispositivos NetScreen sólo admiten UDPse admite la resolución de nombres de dominio, por lo que las URIs deben contenerla ilustración siguiente.


227

6.6.6.2

Servidor de registro

DIP entrante

.6.1 : 5555 3600

sip:6.6.6.2 SIP/2.0 6.6.6.1

.6.6.1 ITE p: 6.6.6.1:5555 > 00

6.6.6.1 .6.6.1 ITE p: 6.6.6.1:5555 > 00

erna


��

Tabla de

Agregar entrada a la tabla de DIP entrante

Actualizar el valor del tiempo de espera

REGISTER sip: 6.6.6.2 SIP/2.0From: ph1@ 5.5.5.1 To: ph1@ 5.5.5.1 CSeq 1 INVITE Contact <sip: 5.5.5.1:1234 > Expires: 7200

200 OKFrom: ph1@ 5.5.5.1 To: ph1@ 5.5.5.1 CSeq 1 INVITE Contact <sip: 5.5.5.1:1234 > Expires: 3600


SIP ph1 5.5.5.1 5.5.5.2 6.6.6.1

5.5.5.1 : 1234 6.6

Red interna

REGISTERFrom: ph1@To: ph1@ 6CSeq 1 INVContact <siExpires: 72

200 OKFrom: ph1@To: ph1@ 6CSeq 1 INVContact <siExpires: 36

Red ext


228

one2 y el servidor proxy en terfaz ethernet3 para aplicar fico SIP desde la zona Untrust ctiva que permita el tráfico hone1 en la zona Trust funciona DIP entrante con

servidor de registro del SIP” en


e)

OK :

phone21.1.1.4

Servidor proxy1.1.1.3

Untrust

Internet


Ejemplo: Llamada entrante (DIP de interfaz)En este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phla interfaz ethernet3 de la zona Untrust. Usted configurará la DIP de interfaz en la inNAT a las llamadas entrantes, a continuación creará una directiva que permita el tráa la zona Trust y hará referencia a esa DIP en la directiva. También creará una direSIP desde la zona Trust a la zona Untrust utilizando NAT Source. Esto permitirá a pregistrarse en el proxy de la zona Untrust. Para obtener una explicación sobre cómoel servicio de registro SIP, consulte “Soporte de llamadas SIP entrantes utilizando ella pàgina 226.

WebUI


Zone Name: Trust




Interface Mode: NAT

phone110.1.1.3


ethernet31.1.1.1/24


Trust

LAN

DIP de interfaz en ethernet3


229


e)

lic en OK :

lic en OK :

lic en OK :



Zone Name: Untrust





Address Name: phone1



Zone: Trust





Zone: Untrust


Address Name: proxy



Zone: Untrust


230

n Incoming NAT y haga clic

haga clic en OK :

n Return para establecer las de configuración básica:

ne)

ss Interface IP)

haga clic en OK :

rnet3)


3. DIP con NAT entranteNetwork > Interface > Edit (para ethernet3) > DIP > New: Seleccione la opcióen OK .


Source Address:

Address Book Entry: (seleccione) phone1


Address Book Entry: (seleccione) any

Service: SIP

Action: Permit

> Advanced: Escriba lo siguiente y haga clic eopciones avanzadas y regresar a la página

NAT:

Source Translation: (seleccio

(DIP on): None (Use Egre


Source Address:



Address Book Entry: (seleccione), DIP(ethe

Service: SIP

Action: Permit


231

permitpermit


CLI



2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address untrust proxy 1.1.1.3/24

3. DIP con NAT entranteset interface ethernet3 dip interface-ip incomingset dip sticky

4. Directivasset policy from trust to untrust phone1 any sip nat src set policy from untrust to trust any dip(ethernet3) sip save


232

y en la zona Untrust. Usted das entrantes, y a continuación y hará referencia al conjunto de zona Trust a la zona Untrust oxy de la zona Untrust. Para nsulte “Soporte de llamadas


e)

OK :

Untrust

Internet


phone21.1.1.4


Ejemplo: Llamada entrante (conjunto de DIP)En este ejemplo, phone1 se encuentra en la zona Trust y phone2 y el servidor proxconfigurará un conjunto de DIP en la interfaz ethernet3 para aplicar NAT a las llamacreará una directiva que permita el tráfico SIP desde la zona Untrust a la zona Trust DIP en la directiva. También creará una directiva que permita el tráfico SIP desde lautilizando NAT Source. Esto permitirá a phone1 en la zona Trust registrarse en el probtener una explicación sobre cómo funciona DIP con el servicio de registro SIP, coSIP entrantes utilizando el servidor de registro del SIP” en la pàgina 226.

WebUI


Zone Name: Trust




Interface Mode: NAT

Dispositivo NetScreenTrust

Conjunto de DIP en ethernet3

1.1.1.20 -> 1.1.1.40

LAN

phone110.1.1.3


ethernet31.1.1.1/24


233


e)

lic en OK :

lic en OK :

lic en OK :



Zone Name: Untrust








Zone: Trust





Zone: Untrust


Address Name: proxy



Zone: Untrust


234


.1.1.40


haga clic en OK :


ne)

.40)/port-xlate))


3. Conjunto de DIP con NAT entranteNetwork > Interface > Edit (para ethernet3) > DIP > New: Introduzca los sigu

ID: 5

IP Address Range: (seleccione), 1.1.1.20 ~ 1





Source Address:

Address Book Entry: (seleccione), phone1



Service: SIP

Action: Permit


NAT:


(DIP on): 5 (1.1.1.20-1.1.1


235

haga clic en OK :

dip 5 permit



Source Address:

Address Book Entry: (seleccione) Any


Address Book Entry: (seleccione) DIP(5)

Service: SIP

Action: Permit

CLI




3. Conjunto de DIP con NAT entranteset interface ethernet3 dip 5 1.1.1.20 1.1.1.40 incomingset dip sticky

4. Directivasset policy from trust to untrust phone1 any sip nat src set policy from untrust to trust any dip(5) sip permitsave


236

one2 y el servidor proxy en la para phone1, luego creará una encia a esa MIP en la directiva. oxy en la zona Untrust. Este e interfaz)” en la pàgina 228 y MIP se necesita una dirección z o un conjunto de DIP, una


e)

OK :

Internet

Untrust

Servidor proxyphone2

1.1.1.4


Ejemplo: Llamada entrante con MIPEn este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phinterfaz ethernet3 de la zona Untrust. Usted pondrá una MIP en la interfaz ethernet3directiva que permita el tráfico SIP desde la zona Untrust a la zona Trust y hará referTambién creará una directiva permitiendo que phone1 se registre con el servidor prejemplo es similar a los dos ejemplos anteriores (“Ejemplo: Llamada entrante (DIP d“Ejemplo: Llamada entrante (conjunto de DIP)” en la pàgina 232), salvo que con unapública por cada dirección privada en la zona Trust, mientras que con DIP de interfasola dirección de interfaz puede servir múltiples direcciones privadas.

WebUI


Zone: Trust




Interface Mode: NAT

ethernet1 10.1.1.1/24

ethernet3 1.1.1.1/24

MIP de dispositivo virtual en ethernet3

1.1.1.1/24

Trust

LAN


phone110.1.1.3


237


lic en OK :

lic en OK :

lic en OK :



Zone: Untrust







Zone: Trust





Zone: Untrust


Address Name: proxy



Zone: Untrust


238


haga clic en OK:

1.3)


3. MIPNetwork > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los si OK :

Mapped IP: 1.1.1.3

Netmask: 255.255.255.255


4. DirectivaPolicies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), any



Service: SIP

Action: Permit

CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 route


239

rmit

n la zona (privada) Trust, y faz ethernet3 hacia el servidor ermitiendo el tráfico SIP desde creará una directiva desde la

phone21.1.1.4

Untrust

Internet



3. MIPset interface ethernet3 mip 1.1.1.3 host 10.1.1.3

4. Directivaset policy from untrust to trust any mip(1.1.1.3) sip pesave

Ejemplo: Proxy en la zona privadaEn este ejemplo, phone1 y el servidor proxy del SIP están en la interfaz ethernet1 ephone2 está en la interfaz ethernet3 en la zona Untrust. Pondrá una MIP en la interproxy para permitir que phone2 se registre en el proxy y luego creará una directiva pla zona Untrust a la zona Trust y hará referencia a esa MIP en la directiva. Tambiénzona Trust a la zona Untrust para permitir que phone1 efectúe llamadas externas.

Trust


phone110.1.1.3


ethernet31.1.1.1/24


LAN

MIP de dispositivo virtual

en ethernet3 1.1.1.2 -> 10.1.1.4


240


e)

OK :


lic en OK :

lic en OK :


WebUI


Zone: TrustStatic IP: (seleccione esta opción si es posiblIP Address/Netmask: 10.1.1.1/24


Interface Mode: NAT


Zone: UntrustIP Address/Netmask: 1.1.1.1/24Interface Mode: Route





Zone: Trust





Zone: Untrust


241

lic en OK :

iguientes datos y haga clic en

haga clic en OK :


ne)ss Interface IP)



Address Name: proxy



Zone: Trust

3. MIPNetwork > Interfaces > Edit (para loopback.3) > MIP > New: Introduzca los s OK :

Mapped IP: 1.1.1.2

Netmask: 255.255.255.255




Source Address:

Address Book Entry: (seleccione) any



Service: SIP

Action: Permit


NAT: Source Translation: (seleccio



242

haga clic en OK:

1.2)

permit permit



Source Address:




Service: SIP

Action: Permit

CLI



2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address trust proxy 10.1.1.4/24

3. MIPset interface ethernet3 mip 1.1.1.2 host 10.1.1.4

4. Directivasset policy from trust to untrust any phone2 sip nat src set policy from untrust to trust phone2 mip(1.1.1.2) sipsave


243

one2 y el servidor proxy en la la interfaz Untrust y creará una encia a esa DIP en la directiva. en el servidor proxy en la zona nsulte “Ejemplo: Llamada ” en la pàgina 236) y, como en


e)

OK:

s y haga clic en OK:


phone21.1.1.4

Untrust

Internet


Ejemplo: Proxy en la zona públicaEn este ejemplo, phone1 se encuentra en la interfaz ethernet1 en la zona Trust y phinterfaz ethernet3 de la zona (pública) Untrust. Usted configurará DIP de interfaz endirectiva permitiendo el tráfico SIP desde la zona Untrust a la zona Trust y hará referTambién creará una directiva de Trust a Untrust para permitir que phone1 se registreUntrust. Este ejemplo es similar a los ejemplos anteriores de llamadas entrantes (coentrante (conjunto de DIP)” en la pàgina 232 y “Ejemplo: Llamada entrante con MIPesos ejemplos, puede utilizar la DIP o MIP en la interfaz Untrust.

WebUI


Zone: Trust




Interface Mode: NAT


ethernet31.1.1.1/24


phone110.1.1.3


Trust

LAN

DIP de interfazen ethernet3


244


lic en OK :

lic en OK :

lic en OK :



Zone: Untrust







Zone: Trust





Zone: Untrust


Address Name: proxy



Zone: Untrust


245

erificación Incoming NAT .

haga clic en OK :


ne)

ss Interface IP)

haga clic en OK :

rnet3)


3. DIP de interfazNetwork > Interface > Edit (para ethernet3) > DIP: Seleccione la casilla de v


Source Address:




Service: SIP

Action: Permit


NAT:




Source Address:



Address Book Entry: (seleccione) DIP(ethe

Service: SIP

Action: Permit


246

permitpermit


CLI




3. DIP de interfazset interface ethernet3 dip interface-ip incoming

4. Directivasset policy from trust to untrust phone1 any sip nat src set policy from untrust to trust any dip(ethernet3) sip save


247

ne2 en la interfaz ethernet3 de a MIP en la interfaz ethernet2

ego hará referencia a esa MIP entre cada una de ellas. Las la zona Untrust genere una

ervidor proxy.2.2.4


Ejemplo: Zona triple, proxy en DMZ En este ejemplo, phone1 se encuentra en la interfaz ethernet1 de la zona Trust, phola zona Untrust y el servidor proxy en la interfaz ethernet2 de DMZ. Usted situará unhacia phone1 en la zona Trust, creará una directiva desde DMZ a la zona Trust y luen la directiva. De hecho, con tres zonas necesitará crear directivas bidireccionalesflechas en la ilustración siguiente muestran el flujo del tráfico SIP cuando phone2 dellamada a phone1 en la zona Trust.

Untrust

DMZ

Trust

S

2




phone21.1.1.4

Internet

LAN

MIP de dispositivo

virtual en ethernet2

2.2.2.3 -> 10.1.1.3phone110.1.1.3

ethernet22.2.2.2/24


248


e)

OK :


e)


e)

lic en OK :


WebUI


Zone: Trust




Interface Mode: NAT


Zone Name: DMZ




Zone Name: Untrust







Zone: Trust


249

lic en OK :

lic en OK :


ga clic en OK :






Zone: Untrust


Address Name: proxy



Zone: DMZ

3. MIPNetwork > Interfaces > Edit (para ethernet2) > MIP > New: Introduzca los si OK :

Mapped IP 2.2.2.3

Netmask: 255.255.255.255


4. DirectivasPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), proxy

Service: SIP

Action: Permit


250


ss Interface IP)

haga clic en OK :

haga clic en OK :

haga clic en OK :



NAT:

Source Translation: Enable


Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: SIP

Action: Permit


Source Address:




Service: SIP

Action: Permit


Source Address:





251

ga clic en OK :

2.3)

haga clic en OK :


ss Interface IP)


Service: SIP

Action: Permit

Policies > (From: DMZ, To: Trust) New: Introduzca los siguientes datos y ha

Source Address:




Service: SIP

Action: Permit


Source Address:




Service: SIP

Action: Permit


NAT:




252

rmit

t

itrc permit


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 natset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 routeset interface ethernet2 zone dmzset interface ethernet2 ip 2.2.2.2/24set interface ethernet2 route

2. Direccionesset address trust phone1 10.1.1.3/24set address untrust phone2 1.1.1.4/24set address dmz proxy 2.2.2.4

3. MIPset interface2 mip 2.2.2.3 host 10.1.1.3

4. Directivasset policy from trust to dmz phone1 proxy sip nat src peset policy from dmz to untrust proxy phone2 sip permitset policy from untrust to trust phone2 phone1 sip permiset policy from untrust to dmz phone2 proxy sip permitset policy from dmz to trust proxy mip(2.2.2.3) sip permset policy from trust to untrust phone1 phone2 sip nat ssave


253

hone3 en una subred en la la zona Trust. Para permitir de loopback, agregará erfaz de loopback apuntando a una sola MIP para el servidor en la zona Untrust, también ación sobre la utilización de la pàgina 7 -107.

ne2.2.4


Ejemplo: Untrust intrazonalEn este ejemplo, phone2 se encuentra en la interfaz ethernet2 de la zona Untrust, pinterfaz ethernet3 de la zona Untrust, y el servidor proxy en la interfaz ethernet1 de tráfico SIP intrazonal entre los dos teléfonos de la zona Untrust, creará una interfaz ethernet2 y ethernet3 a un grupo de loopback y finalmente situará una MIP en la intla dirección IP del servidor proxy. Crear una interfaz de loopback le permitirá utilizarproxy en la zona Trust. Dado que el bloqueo está activado de forma predeterminadadebe desactivarlo para permitir la comunicación intrazonal. Para obtener más informinterfaces de loopback, consulte “MIP y la interfaz de bucle invertido (loopback)” en

Trust

Untrust

ethernet1 10.1.1.1/24



phone11.1.1.4

pho1.1

proxy10.1.1.5

Internet

LAN

Loopback.11.1.4.1/24

MIP en Loopback.1 1.1.4.5 -> 10.1.1.5


254


e)

OK :


e)


e)

haga clic en OK :


WebUI


Zone: Trust




Interface Mode: NAT


Zone: Untrust




Zone: Untrust



Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y


Zone: Untrust (trust-vr)



255

lic en OK :

lic en OK :

lic en OK :


opback.1


opback.1



Address Name: proxy



Zone: Trust





Zone: Untrust





Zone: Untrust

3. Grupo LoopbackNetwork > Interfaces > Edit (para ethernet4): Introduzca los siguientes dato

As member of loopback group: (seleccione) lo

Zone Name: Untrust


As member of loopback group: (seleccione) lo

Zone Name: Untrust


256

iguientes datos y haga clic en

ga clic en OK :

haga clic en OK :


ss Interface IP)


4. MIPNetwork > Interfaces > Edit (para loopback.1) > MIP > New: Introduzca los s OK :

Mapped IP 1.1.4.5

Netmask: 255.255.255.255



5. BloqueoNetwork > Zones > Edit (para Untrust): Introduzca los siguientes datos y ha

Block Intra-Zone Traffic: (anule la selección)


Source Address:




Service: SIP

Action: Permit


NAT:




257

haga clic en OK :

4.5)



Source Address:




Service: SIP

Action: Permit

CLI




set interface loopback.1 zone untrustset interface loopback.1 ip 1.1.4.1/24set interface loopback.1 route

2. Direccionesset address trust proxy 10.1.1.5/32set address untrust phone1 1.1.1.4/32set address untrust phone2 1.1.2.4/32


258

ermitrmit


3. Grupo Loopbackset interface ethernet2 loopback-group loopback.1set interface ethernet3 loopback-group loopback.1

4. MIPset interface loopback.1 mip 1.1.4.5 host 10.1.1.5

5. Bloqueo

unset zone untrust block

6. Directivasset policy from trust to untrust proxy any sip nat src pset policy from untrust to trust any mip(1.1.4.5) sip pesave


259

ne2 en la interfaz ethernet2 en z Untrust. Para permitir que interfaz en la interfaz ethernet3 tivas determinadas para rminada, el bloqueo está

).


e)

OK :

Untrust

servidor proxy3.3.3.4

Internet


Ejemplo: Trust intrazonalEn este ejemplo, phone1 se encuentra en la interfaz ethernet1 de la zona Trust, phouna subred de la zona Trust, y el servidor proxy en la interfaz ethernet3 de la interfaambos teléfonos de la zona Trust se comuniquen entre sí, usted configurará DIP de para permitir que entren en contacto con el servidor proxy, y luego establecerá direcpermitir el tráfico SIP bidireccional entre las zonas Trust y Untrust. De forma predetedesactivado en la zona Trust (como lo está en las zonas personalizadas que defina

WebUI


Zone: Trust




Interface Mode: NAT

phone110.1.1.3


Trust



ethernet33.3.3.3/24

LAN

phone210.1.2.2

DIP de interfaz en ethernet3


260


e)

OK :


e)

lic en OK :

lic en OK :



Zone: Trust




Interface Mode: NAT


Zone: Untrust







Zone: Trust





Zone: Trust


261

lic en OK :


haga clic en OK :


ss Interface IP)



Address Name: proxy



Zone: Untrust

3. DIP con NAT entranteNetwork > Interface > Edit (para ethernet3) > DIP > New: Introduzca los sigu



Source Address:




Service: SIP

Action: Permit


NAT:




262

haga clic en OK :

y haga clic en Return para

ne)

ss Interface IP)



Source Address:

Address Book Entry: (seleccione) proxy



Service: SIP

Action: Permit

> Advanced: Introduzca los siguientes datos establecer las opciones avanzadas:

NAT:



CLI


set interface ethernet2 zone trustset interface ethernet2 ip 10.1.2.1/24set interface ethernet2 nat



263

ermitp permit

alla completa. Cada sitio tiene oficina central, phone1 en la . Todas las interfaces que

dispositivo configurará dos

s cuatro interfaces


2. Direccionesset address trust phone1 10.1.1.3/24set address trust phone2 10.1.2.2/24set address untrust proxy 3.3.3.4/24

3. DIP de interfaz

set interface ethernet3 dip interface-ip incoming

4. Directivasset policy from trust to untrust any proxy sip nat src pset policy from untrust to trust proxy dip(ethernet3) sisave

Ejemplo: VPN de malla completa para SIPEn este ejemplo, la oficina central y dos sucursales están unidas por una VPN de mun solo dispositivo NetScreen. El servidor proxy se encuentra en la zona Trust de lazona Trust de la sucursal primera y phone2 en la zona Trust de la sucursal segundaconectan los dispositivos se encuentran en sus respectivas zonas Untrust. En cadatúneles, conectados entre sí, para crear una red completamente interconectada.

Nota: Los dispositivos NetScreen utilizados en este ejemplo deben tener disponibleconfigurables independientemente.


264

h-2

Trusteth1-10.1.2.1

Untrusteth3-2.2.2.2

Untrusteth2/2-1.1.2.1

phone210.1.2.3

interfaz tunnel.2no numerada

Enrutador de la puerta de enlace

A la central: 1.1.2.1A branch-2:2.2.2.

Sucursal segunda


Proxy 10.1.3.3

VPN 3

VPN 1 VPN 2

Branch-1 Branc

Central

Trusteth1-10.1.1.1 Untrust

eth4-5.5.5.5Untrust

eth4-4.4.4.4

Untrusteth3-3-3.3.3.3

Trusteth2/8-10.1.3.1

Untrusteth2/1-1.1.1.1

Zona Trust

Zona Trust Zona Trust

Nota: La zona Untrust de cada dispositivo no se muestra

phone1 10.1.1.3




Enrutador de la puerta de enlaceA branch-1: 4.4.4.4A branch-2: 5.5.5.5

Enrutador de la puerta de enlace

A la central: 1.1.1.1A branch-1:3.3.3.3

tunnel.27.7.7.7

tunnel.16.6.6.6

Oficina central

Sucursal primera


265

ionales que conducen a las alores específicos que necesita ue.


WebUI (para la central)

1. InterfacesNetwork > Interfaces > Edit (para ethernet2/1)

Network > Interfaces > Edit (para ethernet2/2)

Network > Interfaces > Edit (para ethernet2/8)

Network > Interfaces > New Tunnel IF

2. DirecciónObjects > Addresses > List > New

3. VPNVPNs > AutoKey IKE > New: > Advanced

4. EnrutamientoNetwork > Routing > Routing Entries > New

5. DirectivasPolicies > (From: Untrust, To: Trust) New

Policies > (From: Trust, To: Untrust) New

Nota: En este ejemplo, cada sección del WebUI enumera solamente rutas navegacpáginas necesarias para configurar el dispositivo. Para consultar los parámetros y vestablecer para cualquier sección del WebUI, consulte la sección de CLI que le sig


266

-interface ethernet2/1

-interface ethernet2/2

idletime 0 sec-level

idletime 0 sec-level


CLI (para la central)

1. Interfacesset interface ethernet2/1 zone untrustset interface ethernet2/1 ip 1.1.1.1/24

set interface ethernet2/2 zone untrustset interface ethernet2/2 ip 1.1.2.1/24

set interface ethernet2/8 zone trustset interface ethernet2/8 ip 10.1.1.1/24set interface ethernet2/8 nat

set interface tunnel.1 zone untrustset interface tunnel.1 ip 6.6.6.6/24

set interface tunnel.2 zone untrustset interface tunnel.2 ip 7.7.7.7/24

2. Direcciónset address trust proxy 10.1.3.3/32

3. VPNset ike gateway to-branch-1 address 3.3.3.3 main outgoing

preshare “netscreen” sec-level standardset ike gateway to-branch-2 address 2.2.2.2 main outgoing

preshare “netscreen” sec-level standardset vpn vpn_branch-1 gateway to-branch-1 no-reply tunnel

standardset vpn vpn-branch-1 id 1 bind interface tunnel.1set vpn vpn-branch-2 gateway to-branch-2 no-reply tunnel

standardset vpn vpn-branch-2 id 2 bind interface tunnel.2


267
4. Enrutamientoset route 10.1.2.0/24 interface tunnel.2set route 10.1.1.0/24 interface tunnel.1

5. Directivasset policy from untrust to trust any proxy sip permitset policy from trust to untrust proxy any sip permitsave

WebUI (Sucursal 2)

1. InterfacesNetwork > Interfaces > Edit (para ethernet1)

Network > Interfaces > Edit (para ethernet2)









268

-interface ethernet3

terface ethernet4

dletime 0 sec-level

me 0 sec-level standard


CLI (Sucursal 2)




set interface tunnel.1 zone untrustset interface tunnel.1 ip unnumbered interface ethernet3


2. Direcciónset address trust phone1 10.1.1.3/32

3. VPNset ike gateway to-central address 1.1.1.1 Main outgoing

preshare "netscreen" sec-level standardset ike gateway to-ns50 address 5.5.5.5 Main outgoing-in

preshare "netscreen" sec-level standardset vpn vpncentral gateway to-central no-replay tunnel i

standardset vpn vpncentral id 4 bind interface tunnel.1set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletiset vpn vpn-ns50 id 5 bind interface tunnel.3


269
4. Rutasset route 10.1.3.0/24 interface tunnel.1set route 10.1.2.0/24 interface tunnel.3

5. Directivasset policy from trust to untrust phone1 any sip permitset policy from untrust to trust any phone1 sip permitsave

WebUI (Sucursal 1)

1. InterfacesNetwork > Interfaces > Edit (para ethernet1)










270

-interface ethernet3

terface ethernet4

dletime 0 sec-level

me 0 sec-level standard


CLI (Sucursal 1)






2. Direcciónset address trust phone2 10.1.2.1/32

3. VPNset ike gateway to-central address 1.1.2.1 main outgoing

preshare "netscreen" sec-level standardset ike gateway to-ns50 address 4.4.4.4 main outgoing-in

preshare "netscreen" sec-level standardset vpn vpncentral gateway to-central no-replay tunnel i

standardset vpn vpncentral bind interface tunnel.2set vpn vpn-ns50 gateway to-ns50 no-replay tunnel idletiset vpn vpn-ns50 bind interface tunnel.3


271

VoIPde banda para servicios de VoIP,

de asegurar calidad para el rectiva que garantice el ancho de erfaz y establecer una cola de drá utilizar ancho de banda n utilizar el ancho de banda no

ancho de banda máximo para el del tráfico VoIP. También se El inconveniente de este método ue no esté siendo utilizado por el

point (DSCP): Garantizando el l tráfico no VoIP se permite ermite conservar los ajustes de r DSCP recibido establecido por

enrutador del siguiente salto, alidad del servicio (“Quality of

figuraciones VPN, el dispositivo


4. Rutasset route 10.1.1.0/24 interface tunnel.3set route 10.1.3.0/24 interface tunnel.2

5. Directivasset policy from trust to untrust phone2 any sip permitset policy from untrust to trust any phone2 sip permitsave

Administración del ancho de banda para servicios de Juniper Networks recomienda los siguientes métodos de administración del ancho utilizando los mecanismos de asignación de tráfico estándar de ScreenOS.

• Garantizar el ancho de banda para el tráfico VoIP: La manera más eficaz servicio VoIP sin impedir otros tipos de tráfico en la interfaz es crear una dibanda mínimo necesario para la cantidad prevista de tráfico VoIP en la intprioridades al más alto nivel. La ventaja de esta estrategia es que VoIP poadicional cuando esté disponible, mientras que otros tipos de tráfico podrágarantizado para VoIP cuando no esté siendo utilizado por VoIP.

• Limitar el ancho de banda para el tráfico que no es VoIP: Estableciendo untráfico que no es VoIP, se pone el ancho de banda restante a disposición establecerá una cola de prioridades al más alto nivel para el tráfico VoIP. es que el tráfico no VoIP no puede utilizar ancho de banda adicional aunqtráfico VoIP.

• Utilizar una cola de prioridades y el marcado Differentiated Services Codeancho de banda para el tráfico VoIP y limitando el ancho de banda para econtrolar el flujo de datos en el dispositivo NetScreen. El marcado DSCP pcola de prioridades “corriente abajo”, así como mantener o cambiar el valoel dispositivo de red o enrutador emisor “corriente arriba”, de modo que eltípicamente el enrutador LAN o WAN “fronterizo”, pueda hacer cumplir la cService” o QoS) en su dominio DiffServ. De forma predeterminada en con


272

e IP al encabezado externo, de servicio (QoS) correcta en el P con niveles de prioridad en


NetScreen copia el marcado DSCP desde el encabezado interno del paquetmodo que el enrutador del salto siguiente pueda hacer cumplir la calidad detráfico codificado. Para obtener información sobre el funcionamiento de DSCdirectivas, consulte “Asignación de tráfico” en la pàgina 327.


273

ctar al uso del ancho de banda mum bandwidth” o “mbw”) en necesidad de permitir al menos total de 512 kbps) y,

ráfico general de la oficina y ha ancho de banda no garantizado áximo para los servicios de

ajustes y un elevado tráfico de VoIP necesitase de los servicios del tráfico de la utilización del ancho de banda oficina tiene una prioridad anda y de la prioridad, consulte

Anch

o de

ban

da to

tal d

e 2

Mbp

s

anda

eles

VoIP

Tráf

ico

de la

of

icin

a
La ilustración siguiente muestra cómo los ajustes de niveles de prioridad pueden afegarantizado (“guaranteed bandwidth” o “gbw”) y del ancho de banda máximo (“maxiuna interfaz ethernet1 (2 Mbps). La ilustración asume que usted ha determinado la ocho llamadas de VoIP (ancho de banda de 8 x 64 kbps por llamada, obteniendo unocasionalmente, hasta 16 llamadas. Ha garantizado el ancho de banda restante al testablecido el ancho de banda máximo para que el tráfico de la oficina disponga del al servicio de VoIP. Esto crea un solapamiento de 512 kbps en el ancho de banda mVoIP y del tráfico de la oficina, indicado mediante líneas discontinuas.

El lado izquierdo de la ilustración muestra la utilización del ancho de banda con esosoficina atravesando la interfaz, así como uso un nivel de utilización bajo de VoIP. Sirepentinamente más ancho de banda, a menos que su prioridad fuese superior a la oficina, no podría conseguirla. El lado derecho de la ilustración muestra el grado deen las mismas circunstancias que cuando VoIP tiene alta prioridad y el tráfico de la inferior. Para obtener más información sobre niveles de configuración de ancho de b“Asignación de tráfico” en la pàgina 359.

Anch

o de

ban

da to

tal d

e 2

Mbp

s

gbw 1024 kbps

mbw 1024 kbps

Utilizar niveles de prioridad con ajustes del ancho de b

Ajustes de ancho de bandagarantizado y máximo

Agregar ajustes de nivde prioridad

VoIP Tráfico de la oficina

gbw 512 kbps

mbw 1536 kbps

VoIP

Tráf

ico

de la

ofic

ina


274

vez creado un grupo que po, simplificando la

ás grupos de servicios.

efinidas por el usuario en el

plo, si existe un servicio .

e editar, pero para eliminarlo

bién será eliminada en todos

iembro.


Grupos de serviciosUn grupo de servicios es un conjunto de servicios agrupados bajo un nombre. Una contenga varios servicios, se pueden aplicar servicios a las directivas a nivel de gruadministración.

La opción de grupo de servicios de NetScreen tiene las siguientes características:

• Se puede hacer referencia a cada entrada del libro de servicios en uno o m

• Cada grupo de servicios puede contener entradas predefinidas y entradas dlibro de servicios.

Los grupos de servicios están sujetos a las siguientes limitaciones:

• Los grupos de servicios no pueden llamarse igual que los servicios; por ejemllamado “FTP”, no puede existir un grupo de servicios con el mismo nombre

• Si en una directiva se hace referencia a un grupo de servicios, éste se puedserá necesario eliminar primero la referencia en la directiva.

• Si se elimina una entrada personalizada del libro de servicios, la entrada tamlos grupos que contengan referencias a la misma.

• Un grupo de servicios no puede contener a otro grupo de servicios como m

• El término “ANY” de servicio integral no se puede agregar a grupos.

• Un servicio sólo puede pertenecer a un grupo a la vez.


275

s IKE, FTP y LDAP.

, mueva los siguientes servicios




dispositivo NetScreen creará s a otros grupos no estén


Ejemplo: Crear un grupo de serviciosEn este ejemplo creará un grupo de servicios llamado “grp1” que incluirá los servicio

WebUI

Objects > Services > Groups > New: Introduzca el siguiente nombre de grupoy haga clic en OK :

Group Name: grp1

Seleccione IKE y utilice el botón << para mo“Available Members” a la columna “Group M

Seleccione FTP y utilice el botón << para mo“Available Members” a la columna “Group M

Seleccione LDAP y utilice el botón << para m“Available Members” a la columna “Group M

CLI

set group service grp1set group service grp1 add ikeset group service grp1 add ftpset group service grp1 add ldapsave

Nota: Si intenta agregar un servicio a un grupo de servicios inexistente, el ese grupo. Asegúrese también de que los grupos que contengan referenciaautoincluidos en la lista de referencias.


276

reó en el “Ejemplo: Crear un regará HTTP, FINGER e IMAP.

ios y haga clic en OK :

er el servicio de la columna embers”.







Ejemplo: Modificar un grupo de serviciosEn este ejemplo cambiará los miembros del grupo de servicios llamado “grp1” que cgrupo de servicios” en la pàgina 275. Eliminará los servicios IKE, FTP y LDAP, y ag

WebUI

Objects > Services > Groups > Edit (para grp1): Mueva los siguientes servic

Seleccione IKE y utilice el botón >> para mov“Group Members” a la columna “Available M

Seleccione FTP y utilice el botón >> para mo“Group Members” a la columna “Available M

Seleccione LDAP y utilice el botón >> para m“Group Members” a la columna “Available M

Seleccione HTTP y utilice el botón << para m“Available Members” a la columna “Group M

Seleccione Finger y utilice el botón << para m“Available Members” a la columna “Group M

Seleccione IMAP y utilice el botón << para m“Available Members” a la columna “Group M

CLI

unset group service grp1 clearset group service grp1 add httpset group service grp1 add fingerset group service grp1 add imapsave


277

e se hayan eliminado todos los


Ejemplo: Eliminar un grupo de serviciosEn este ejemplo eliminará un grupo de servicios denominado “grp1”.

WebUI

Objects > Services > Groups: Haga clic en Remove (para grp1).

CLI

unset group service grp1save

Nota: El dispositivo NetScreen no elimina automáticamente un grupo del qumiembros.

Capítulo 5 Bloques para la construcción de directivas Conjuntos de DIP

278

itivo NetScreen toma es de red a la dirección IP de n sobre la traducción con desplazamiento de rtenece a la misma subred que direcciones IP del enrutador y subred. Si el rango de xcluir la dirección IP extendida

s (DIP): interfaces físicas y N.

el

.2–

.20

1.1/24

únel en a


CONJUNTOS DE DIPUn conjunto de IPs dinámicas (DIP) es un rango de direcciones IP del cual el disposdirecciones de forma dinámica o determinista para aplicar la traducción de direccionorigen (NAT-src) en los encabezados de paquetes IP. (Para obtener más informaciódeterminista de direcciones de origen, consulte “NAT-Src desde un conjunto de DIPdirecciones” en la pàgina 7 -25). Si el rango de direcciones de un conjunto de DIP pela dirección IP de la interfaz, el conjunto debe excluir la dirección IP de la interfaz, lascualquier dirección IP asignada (MIP) o virtual (VIP) que pueda haber en esa mismadirecciones se encuentra en la subred de una interfaz extendida, el conjunto debe ede la interfaz.Existen tres clases de interfaces que se pueden enlazar a conjuntos de IPs dinámicasubinterfaces para el tráfico de red y VPN, e interfaces de túnel sólo para túneles VP

ethernet1 ethernet2 ethernet3 Tunnel Tunn

10.10.1.2–10.10.1.20

210.10.1.2–210.10.1.20

220.10.1.2–220.10.1.20

10.20.1.2–10.20.1.20

10.30.110.30.1

10.10.1.1/24 210.10.1.1/24 220.10.1.1/24 10.20.1.1/24 10.30.

Conjuntos de DIP

Interfaces

A la zona DMZ

A la zona Untrust

A la zona Trust

Túneles VPN

Cortafuegos de NetScreen

Las interfaces físicas conducen a redes o

túneles VPN.

Las interfaces de tsolamente conduc

túneles VPN.


279

T”), varios hosts pueden lista de los números de puerto da, puede haber hasta ~64.500

S Extended User Interface” o ming Service” o “WINS”), lica PAT. Se puede especificar ) al aplicar DIP. Para DIP de host original, permitiendo así al

r un servidor FTP en un sitio e direcciones privado

una interfaz de túnel en la zona asociará un conjunto de DIP da la traducción de direcciones

n una dirección IP en un asignada (MIP) a su servidor

conjunto de DIP que la esarios para este supuesto,


Traducción de direcciones de puertosUtilizando la traducción de direcciones de puertos (“Port Address Translation” o “PAcompartir la misma dirección IP, para lo cual el dispositivo NetScreen mantiene unaasignados con el fin de distinguir qué sesión pertenece a qué host. Con PAT habilitahosts compartiendo una misma dirección IP.

Algunas aplicaciones, como la interfaz de usuario extendida para NetBIOS (“NetBIO“NetBEUI”) y el servicio de nombres de Internet de Windows (“Windows Internet Narequieren números de puerto específicos y no funcionan correctamente si se les apque PAT no se ejecute para tales aplicaciones (es decir, que se utilice un puerto fijopuerto fijo, el dispositivo NetScreen guarda en su tabla de “hash” la dirección IP del dispositivo NetScreen asociar la sesión correcta a cada host.

Ejemplo: Crear un conjunto de DIP con PATEn este ejemplo creará un túnel VPN para que los usuarios locales puedan alcanzaremoto. Sin embargo, las redes internas de ambos sitios utilizan el mismo espacio d10.1.1.0/24. Para solucionar este problema de solapamiento de direcciones, creará Untrust del dispositivo NetScreen local, le asignará la dirección IP 10.10.1.1/24 y le que contendrá un rango de una sola dirección (10.10.1.2-10.10.1.2) y tendrá habilitade puertos.

Los administradores del sitio remoto también deberán crear una interfaz de túnel coespacio de direcciones neutral, tal como 10.20.2.1/24, y configurar una dirección IPFTP, como 10.20.2.5 hacia el host 10.1.1.5.

Nota: Este ejemplo incluye solamente la configuración de la interfaz de túnel y del acompaña. Por ver un ejemplo completo con todos los pasos de configuración necconsulte “Sitios VPN con direcciones superpuestas” en la pàgina 5 -203.


280

ga clic en OK:

ientes datos y haga clic en OK:


r otro número.

ingún argumento para ente, pero sin PAT (es decir,

sactive la casilla de verificación


WebUINetwork > Interfaces > New Tunnel IF: Introduzca los siguientes datos y ha

Tunnel Interface Name: tunnel.1

Zone (VR): Untrust (trust-vr)

Fixed IP: (seleccione)

IP Address / Netmask: 10.10.1.1/24

Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los sigu

ID: 510

IP Address Range: 10.10.1.2 ~ 10.10.1.2



CLI

set interface tunnel.1 zone untrust-tunset interface tunnel.1 ip 10.10.1.1/24set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2save

10. Puede utilizar el número de identificación mostrado, que es el siguiente número correlativo disponible, o bien escribi

Nota: Dado que PAT está habilitada de forma predeterminada, no existe nhabilitarla. Para crear el mismo conjunto de DIP según lo definido anteriormcon números de puerto fijos), haga lo siguiente:

• (WebUI) Network > Interfaces > Edit (para tunnel.1) > DIP > New: DePort Translation y haga clic en OK.

• (CLI) set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2 fix-port


281

D 5) de 10.20.1.2 – 10.20.1.2 a ambiar el rango del conjunto de tivar) el conjunto de DIP


a que requiere la traducción de traducción de puertos da sesión. Tal asignación de ltiples sesiones que requieren

na directiva utilice un conjunto l conjunto de DIP antes de que

a todas las sesiones simultáneas del


Ejemplo: Modificar un conjunto de DIPEn este ejemplo cambiará el rango de direcciones de un conjunto de DIP existente (I10.20.1.2 – 10.20.1.10. Este conjunto está asociado a tunnel.1. Observe que para cDIP mediante la interfaz de línea de comandos CLI, primero debe eliminar (o desacexistente y crear un nuevo conjunto.

WebUI

Network > Interfaces > Edit (para tunnel.1) > DIP > Edit (para ID 5): Introduclic en OK :

IP Address Range: 10.20.1.2 ~ 10.20.1.10

CLI

unset interface tunnel.1 dip 5set interface tunnel.1 dip 5 10.20.1.2 10.20.1.10save

Direcciones DIP “sticky”Cuando un host inicia varias sesiones que satisfacen las condiciones de una directivdirecciones de red (NAT) y se le asigna una dirección de un conjunto de DIP con la habilitada11, el dispositivo NetScreen asigna una dirección IP de origen distinta a cadirecciones aleatoria puede resultar problemática para los servicios que generan múla misma dirección IP de origen para cada sesión.

Nota: No hay directivas que utilicen este conjunto de DIP en particular. Para que ude DIP, primero debe eliminar la directiva o modificarla para que no pueda utilizar eusted lo haya modificado.

11. Para los conjuntos de DIP que no realizan la traducción de puertos, el dispositivo NetScreen asigna una dirección IPmismo host.


282

se utiliza el cliente AOL Instant hat. Para que el servidor AIM rar la dirección IP de origen del te porque hubiesen sido rvidor AIM rechazará la sesión

njunto de DIP a las diferentes ción DIP ejecutando el

l cortafuegos sea traducida a z de salida, puede utilizar la n IP y un conjunto de DIP ase de directivas y especificar

oficina central les exige utilizar inas reciben de su proveedor ción con la oficina central, cada sucursal de modo que viados a la oficina central. Las :

IP autorizadaficina central) de interfaz extendida de

na Untrust10.1.1/24

20.1.1/24


Por ejemplo, es importante tener la misma dirección IP para varias sesiones cuandoMessaging (AIM). Creará una sesión durante el inicio de su sesión y otra por cada cpueda verificar que un nuevo chat pertenece a un usuario autenticado, debe compainicio de sesión con la dirección de la sesión de chat. Si son diferentes (posiblemenasignadas aleatoriamente desde un conjunto de DIP durante el proceso NAT), el sede chat.

Para garantizar que el dispositivo NetScreen asigna la misma dirección IP de un cosesiones simultáneas de un host, puede habilitar la característica “sticky” de la direccomando CLI set dip sticky .

Interfaz extendida y DIPSi las circunstancias requieren que la dirección IP de origen del tráfico saliente por euna dirección de una subred diferente de la subred en la que se encuentra la interfaopción extendida de la interfaz. Esta opción permite implantar una segunda direccióauxiliar en una interfaz de otra subred. Después se puede habilitar NAT sobre una bpara la traducción el conjunto de DIP creado en la interfaz extendida.

Ejemplo: Usar DIP en otra subredEn este ejemplo, dos sucursales tienen líneas punto a punto con la sede central. Lasolamente las direcciones IP autorizadas que les ha asignado. Sin embargo, las oficde servicios (“ISP”) otras direcciones IP para el tráfico de Internet. Para la comunicautilizará la opción de interfaz extendida para configurar el dispositivo NetScreen en traduzca la dirección IP de origen a la dirección autorizada en todos los paquetes endirecciones IP autorizadas y asignadas para las sucursales A y B son las siguientes

Dirección IP asignada(por el ISP)

Utilizada para la interfaz física de la zona Untrust

Dirección(por la o

Utilizada para la DIPla zo

Oficina A 195.1.1.1/24 211.

Oficina B 201.1.1.1/24 211.


283

st. Todas las zonas de a la zona Trust y le asignará la ión IP generada por los

B. A continuación, creará una en ethernet3:

0.1.1 – 211.10.1.1; PAT

0.1.1 – 211.20.1.1; PAT


En ambos sitios, los dispositivos NetScreen tienen una zona Trust y una zona Untruseguridad se encuentran en el dominio de enrutamiento trust-vr. Enlazará ethernet1dirección IP 10.1.1.1/24. Enlazará ethernet3 a la zona Untrust y le asignará la direcccorrespondientes ISP: 195.1.1.1/24 para la Oficina A y 201.1.1.1/24 para la Oficina interfaz extendida con un conjunto de DIP que contendrá la dirección IP autorizada

• Oficina A: IP de la interfaz extendida 211.10.1.10/24; conjunto de DIP 211.1habilitada

• Oficina B: IP de la interfaz extendida 211.20.1.10/24; conjunto de DIP 211.2habilitada


284

interfaz de la zona Untrust ede central. Configurará una l conjunto de DIP en la interfaz cción IP que, mediante la 00 hosts). La dirección MIP ucir como “HQ” (oficina central)

ta para el tráfico destinado al alquier otro tráfico que reciban

Zona Trust, ethernet110.1.1.1/24

Zona Untrust, ethernet3El ISP asigna 201.1.1.1/24

(interfaz física)HQ autoriza 211.20.1.1/24

(interfaz extendida)Puerta de enlace

predeterminada 201.1.1.254


Establecerá la interfaz de la zona Trust en modo NAT. Utilizará la dirección IP de lacomo dirección de origen en todo el tráfico saliente, salvo en el tráfico enviado a la sdirectiva para la sede central que traducirá la dirección de origen a una dirección deextendida. (El número de identificación del conjunto de DIP es 5. Contiene una diretraducción de direcciones de puertos, permite gestionar las sesiones de unos ~64.5utilizada por la sede central para el tráfico entrante será 200.1.1.1, que deberá introden la libreta de direcciones de la zona Untrust de cada dispositivo NetScreen.

Nota: Para poder utilizar una línea punto a punto, cada ISP debe establecer una rusitio que se encuentra en el extremo de esa línea. Los ISPs desviarán a Internet cude un dispositivo NetScreen local.

Oficina A Oficina BZona Trust, ethernet1

10.1.1.1/24Zona TrustZona Trust

Zona UntrustZona Untrust

I n t e r n e t

Oficina central(HQ)

Zona Untrust, ethernet3El ISP asigna 195.1.1.1/24

(interfaz física)HQ autoriza 211.10.1.1/24

(interfaz extendida)Puerta de enlace

predeterminada 195.1.1.254

Nota: Las líneas arrendadas punto a punto conectan las sucursales A y B directamente a la sede central.

ISP ISP

ISPLínea

punto a punto Línea punto a

punto

200.1.1.1


285


e)


e)


55.0

lic en OK :


WebUI (Sucursal A)


Zone Name: Trust



Interface Mode: NAT


Zone Name: Untrust




Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los sig OK :

ID: 5

IP Address Range: 211.10.1.1 ~ 211.10.1.1


Extended IP/Netmask: 211.10.1.10/255.255.2


Address Name: HQ



Zone: Untrust


286


haga clic en OK :

haga clic en OK :






Gateway IP address: 195.1.1.254


Source Address:




Service: ANY

Action: Permit


Source Address:



Address Book Entry: (seleccione), HQ

Service: ANY

Action: Permit

Position at Top: (seleccione)


287


ne)

1.10.1.1)/X-late


e)


e)


55.0



NAT:


(DIP on): 5 (211.10.1.1-21

WebUI (Sucursal B)


Zone Name: Trust



Interface Mode: NAT


Zone Name: Untrust




Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los sig OK :

ID: 5

IP Address Range: 211.20.1.1 ~ 211.20.1.1


Extended IP/Netmask: 211.20.1.10/255.255.2


288

lic en OK :


haga clic en OK :



Address Name: HQ



Zone: Untrust







Source Address:




Service: ANY

Action: Permit


289

haga clic en OK:


ne)

11.20.1.1-211.20.1.1)/X-late

dip 5 211.10.1.1



Source Address:Address Book Entry: (seleccione), Any


Address Book Entry: (seleccione), HQ

Service: ANY

Action: Permit



NAT:


DIP On: (seleccione), 5 (2

CLI (Sucursal A)


set interface ethernet3 zone untrustset interface ethernet3 ip 195.1.1.1/24set interface ethernet3 routeset interface ethernet3 ext ip 211.10.1.10 255.255.255.0

2. Direcciónset address untrust hq 200.1.1.1/32


290

gateway 195.1.1.254

dip 5 permit

dip 5 211.20.1.1

gateway 201.1.1.254

dip 5 permit



4. Directivasset policy from trust to untrust any any any permitset policy top from trust to untrust any hq any nat src save

CLI (Sucursal B)


set interface ethernet3 zone untrustset interface ethernet3 ip 201.1.1.1/24set interface ethernet3 routeset interface ethernet3 ext ip 211.20.1.10 255.255.255.0

2. Direcciónset address untrust hq 200.1.1.1/32


4. Directivasset policy from trust to untrust any any any permitset policy top from trust to untrust any hq any nat src save


291

tado activo mientras el ede crear un conjunto de rupo asociado de interfaces

positivo NetScreen toma de ese loopback, no en la subred de no deben solaparse con la en la interfaz de bucle invertido.)

ducir direcciones de origen a la tes interfaces de salida.

IP de destino2.2.2.2

��

DATOS


��

DATOS



Interfaz de bucle invertido ("loopback") y DIPUna interfaz de bucle invertido es una interfaz lógica que siempre se encuentra en esdispositivo en el que reside permanezca encendido12. En una interfaz loopback se pudirecciones IP dinámicas (DIP) accesible por el grupo de interfaces perteneciente al gloopback al realizar la traducción de direcciones de origen. Las direcciones que el disconjunto de DIP se encuentran en la misma subred que la dirección IP de la interfaz ninguna de las interfaces miembro. (Observe que las direcciones del conjunto de DIPdirección IP de la interfaz ni con ninguna dirección MIP que también se haya definido

La principal aplicación de ubicar un conjunto de DIP en una interfaz loopback es tramisma dirección o rango de direcciones aunque diferentes paquetes utilicen diferen

12. Para obtener más información sobre interfaces de bucle invertido, consulte “Interfaces loopback” en la pàgina 77.

Interfaz loopbackloopback.11.3.3.1/30 Conjunto de DIP

1.3.3.2 – 1.3.3.2

ethernet31.2.2.1/24

ethernet21.1.1.1/24


Host A10.1.1.5

Host B10.1.1.6

IP de origen10.1.1.5


��

DATOS

IP de origen1.3.3.2


��

DATOS

IP de origen10.1.1.6

IP de origen1.3.3.2

Traducción de direcciones de origen utilizando un conjunto DIP en una interfaz loopback

Sea cual sea la interfaz de salida, el dispositivo NetScreen traduce las direcciones IP de origen a la dirección del conjunto de DIP definido en la interfaz loopback.1.


292

s interfaces de la zona Untrust

P indicadas anteriormente. .

e de la zona Trust a una oficina 3.3.2), porque la oficina remota eviamente habrá obtenido las utilizando estas direcciones

DIP de 1.3.3.2 – 1.3.3.2 en esa rnet1 y ethernet2 miembros del

También definirá rutas tadores de los proveedores

e no tiene ninguna preferencia te podrá seguir cualquier ruta13.

origen (NAT-src) al tráfico la identificación 10.

es decir, un valor más cercano a 1.


Ejemplo: DIP en una interfaz loopbackEn este ejemplo, el dispositivo NetScreen recibe las direcciones IP siguientes de dodesde diferentes proveedores de servicios de Internet (ISPs): ISP-1 e ISP-2:

• ethernet2, 1.1.1.1/24, ISP-1

• ethernet3, 1.2.2.1/24, ISP-2

Asociará estas interfaces a la zona Untrust y después les asignará las direcciones ITambién asociará ethernet1 a la zona Trust y le asignará la dirección IP 10.1.1.1/24

Desea que el dispositivo NetScreen traduzca la dirección de origen del tráfico salientremota en la zona Untrust. La dirección traducida debe ser la misma dirección IP (1.tiene una directiva que permite el tráfico entrante solamente de esa dirección IP. Prdirecciones IP públicas 1.3.3.1 y 1.3.3.2 y habrá notificado a ambos ISPs que estaráademás de las direcciones que ellos asignen al dispositivo.

Configurará una interfaz loopback.1 con la dirección IP 1.3.3.1/30 y un conjunto de interfaz. El conjunto de DIP tendrá la identificación número 10. Después hará a ethegrupo loopback correspondiente a loopback.1.

Definirá una dirección “r-office” con la dirección IP 2.2.2.2/32 para la oficina remota.predeterminadas para las interfaces ethernet1 y ethernet2, que apuntarán a los enru“ISP-1” e “ISP-2”, respectivamente.

Definirá rutas a dos puertas de enlace para que el tráfico saliente las utilice. Dado qupor una ruta u otra, no incluirá ninguna métrica en ninguna de ellas. El tráfico salien

Por último, creará una directiva que aplicará la traducción de direcciones de red de saliente hacia la oficina remota. La directiva hará referencia al conjunto de DIP con

13. Para indicar una ruta preferente, incluya métricas en ambas rutas y asigne a su ruta preferida una métrica más alta,


293

haga clic en OK :


e)

st

Conjunto de DIP con ID 10

(en Loopback.1)1.3.3.2 – 1.3.3.2

et3, 1.2.2.1/24rta de enlace 1.2.2.250


WebUI

1. InterfacesNetwork > Interfaces > New Loopback IF: Introduzca los siguientes datos y


Zone: Untrust (trust-vr)



As member of loopback group: loopback.1

Zone Name: Trust



ISP -1 ISP -2

Loopback.1Zona Untru

1.3.3.1/30

ethernpue

ethernet2, 1.1.1.1/24puerta de enlace

1.1.1.250

ethernet1, 10.1.1.1/24Modo NAT

10.1.1.0/24

r-office2.2.2.2

Zona Untrust

Zona Trust

IP de origen10.1.1.X


��

DATOS

IP de origen1.3.3.2


��

DATOS

El dispositivo NetScreen traducirá todas las direcciones IP de origen de los

paquetes destinados a 2.2.2.2 de 10.1.1.X

a 1.3.3.2, independientemente

de la interfaz de salida utilizada.


294


e)


e)

iguientes datos y haga clic

lic en OK :


Interface Mode: NAT


As member of loopback group: loopback.1

Zone Name: Untrust





Zone Name: Untrust




2. Conjunto de DIPNetwork > Interfaces > Edit (para loopback.1) > DIP > New: Introduzca los sen OK :

ID: 5

IP Address Range: 1.3.3.2 ~ 1.3.3.2



Address Name: r-office



Zone: Untrust


295



aga clic en OK :

Return para establecer las e configuración básica:

)

.3.3.2-1.3.3.2)/port-xlate


4. RutasNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguientes





Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientes





5. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y h

Source Address:



Address Book Entry: (seleccione), r-office

Service: ANY

Action: Permit

> Advanced: Escriba lo siguiente y haga clic enopciones avanzadas y regresar a la página d

NAT:

Source Translation: (seleccione

DIP On: (seleccione), 10 (1


296

gateway 1.1.1.250 gateway 1.2.2.250

c dip-id 10 permit


CLI

1. Interfacesset interface loopback.1 zone untrustset interface loopback.1 ip 1.3.3.1/30


set interface ethernet2 zone untrustset interface ethernet2 ip 1.1.1.1/24set interface ethernet2 loopback-group loopback.1

set interface ethernet3 zone untrustset interface ethernet3 ip 1.2.2.1/24set interface ethernet3 loopback-group loopback.1

2. Conjunto de DIPset interface loopback.1 dip 10 1.3.3.2 1.3.3.2

3. Direcciónset address untrust r-office 2.2.2.2/32

4. Rutasset vrouter trust-vr route 0.0.0.0/0 interface ethernet2set vrouter trust-vr route 0.0.0.0/0 interface ethernet3

5. Directivaset policy from trust to untrust any r-office any nat srsave


297

orcionar alta disponibilidad parten la misma configuración finir una directiva para realizar una interfaz de seguridad

tiva en el dispositivo NetScreen fico enviado al otro dispositivo junto de DIP y se descarta.

:14

VSD maestro 1

VSD de respaldo 1

Conjunto de DIP con ID 71.1.1.101 – 1.1.1.150


Grupos de DIPCuando se agrupan dos dispositivos NetScreen en un clúster redundante para prop(“high availability” o “HA”) en una configuración activa/activa, ambos dispositivos comy ambos procesan el tráfico simultáneamente. Puede presentarse un problema al dela traducción de direcciones de red (NAT) si se utiliza un conjunto de DIP situado envirtual (“Virtual Security Interface” o “VSI”). Debido a que esa VSI solamente está acque actúa como maestro (“master”) del grupo VSD al que está asociada, ningún tráNetScreen (el que actúa como respaldo de dicho grupo VSD) puede utilizar ese con

Grupo VSD: 0 Grupo VSD: 1

Zona Untrust

Zona Trust

VSIs de la zona Untrust

VSIs de la zona Trustethernet1

10.1.1.1/24ethernet110.1.1.2/2

ethernet21.1.1.1/24

ethernet3:11.1.1.2/24

Dispositivo B

Dispositivo AVSD maestro 0

VSD de respaldo 0

Utilización problemática de un conjunto de DIP en una directiva en un clúster NSRP: set policy name out-nat from trust to untrust any any any nat src dip-id 7 permit

Debido a que el conjunto de DIP se encuentra en la VSI de la zona Untrust del grupo VSD 1 (cuyo maestro es el Dispositivo B), el Dispositivo A (respaldo del grupo VSD 1) descarta el tráfico recibido en ethernet1 (10.1.1.1/24) que cumple la directiva “out-nat”.

Clúster NSRP


298

Untrust por cada grupo VSD) y en la directiva. Cada VSI utiliza DIP.

en para HA, consulte el

14

3:124

VSD maestro 1

VSD de respaldo 1

njunto de DIP con ID 7.1.1.101 – 1.1.1.150

r NSRP:


Para solucionar este problema, cree dos conjuntos de DIP (uno en la VSI de la zonacombine ambos conjuntos de DIP en un grupo de DIP, al que luego hará referencia su propio conjunto de VSD incluso aunque en la directiva se especifique el grupo de

Nota: Para obtener más información sobre la configuración de dispositivos NetScreVolumen 10, “Alta disponibilidad”.


Zona Untrust

Zona Trust

VSIs de la zona Untrust

VSIs de la zona Trust ethernet110.1.1.1/24

ethernet1:10.1.1.2/2

ethernet31.1.1.1/24

ethernet1.1.1.2/

Dispositivo B

Dispositivo AVSD maestro 0

VSD de respaldo 0

Co1

Combinando los conjuntos de DIP situados en ambas VSIs de la zona Untrust (para los grupos VSD 0 y 1) en un grupo de DIP, ambos Dispositivos A y B pueden procesar el tráfico que cumpla la directiva “out-nat”, en la que no se hace referencia a un conjunto de DIP específico de interfaz, sino al grupo de DIP compartido.

Conjunto de DIP con ID 81.1.1.151 – 210.1.1.200

Grupo de DIP 9

Utilización recomendada de un grupo de DIP en una directiva cuando se encuentra en un clústeset policy name out-nat from trust to untrust any any any nat dip-id 9 permit

Clúster NSRP


299

sitivos A y B) en un par HA

.30 – 1.1.1.39) en ethernet3:1. ferencia en una directiva.

clúster NSRP, creado el grupo ositivo en un clúster NSRP), y nfiguración de dispositivos

uientes datos y haga clic

siguientes datos y haga clic

e definir un grupo de DIP.


Ejemplo: Grupo de DIPEn este ejemplo proporcionará servicios NAT en dos dispositivos NetScreen (Dispoactivo/activo.

Creará dos conjuntos de DIP, DIP 5 (1.1.1.20 – 1.1.1.29) en ethernet3 y DIP 6 (1.1.1Después los combinará en un grupo de DIP identificado como DIP 7, al que hará re

Las VSIs de los grupos VSD 0 y 1 son:

• VSI de la zona Untrust ethernet3 1.1.1.1/24 (grupo VSD 0)• VSI de la zona Untrust ethernet3:1 1.1.1.2/24 (grupo VSD 1)• VSI de la zona Trust ethernet1 10.1.1.1/24 (grupo VSD 0)• VSI de la zona Trust ethernet1:1 10.1.1.1/24 (grupo VSD 1)

Este ejemplo asume que previamente habrá configurado los Dispositivos A y B en unVSD 1 (NetScreen crea automáticamente el grupo VSD 0 cuando se coloca un dispconfigurado las interfaces mencionadas. (Para obtener más información sobre la coNetScreen para NSRP, consulte el Volumen 10, “Alta disponibilidad”).

WebUI1. Conjuntos de DIP

Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los sigen OK :

ID: 5IP Address Range: 1.1.1.20 – 1.1.1.29

Port Translation: (seleccione)Network > Interfaces > Edit (para ethernet3:1) > DIP > New: Introduzca los en OK :

ID: 6IP Address Range: 1.1.1.30 – 1.1.1.39


Nota: En el momento de publicar esta versión, con CLI solamente se pued


300

haga clic en OK :


ne)

-id 7 permit


2. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: ANY

Action: Permit


NAT:


DIP On: (seleccione), 7

CLI

1. Conjuntos de DIPset interface ethernet3 dip 5 1.1.1.20 1.1.1.29set interface ethernet3:1 dip 6 1.1.1.30 1.1.1.39

2. Grupos de DIPset dip group 7 member 5set dip group 7 member 6

3. Directivaset policy from trust to untrust any any any nat src dipsave

Capítulo 5 Bloques para la construcción de directivas Tareas programadas

301

s directivas para definir cuándo en la red y hacer cumplir las

tes:

” del cuadro de diálogo “Policy programada. El nombre debe

n una periodicidad semanal.

o de fin. Puede especificar

te y termine una sola vez.

mo la de fin.

o a Internet de la empresa para l horario no comercial que ipo de ese trabajador

OK :


TAREAS PROGRAMADASUna tarea programada es un objeto configurable que se puede asociar a una o variadeben entrar en vigor. Las tareas programadas permiten controlar el flujo de tráfico normas de seguridad de la red.

Para definir una tarea programada, introduzca los valores de los parámetros siguien

Schedule Name: El nombre que aparece en la lista desplegable “ScheduleConfiguration”. Elija un nombre descriptivo que le permita identificar la tareaser exclusivo y está limitado a 19 caracteres.

Comment: Cualquier información adicional que desee agregar.

Recurring: Habilite esta opción cuando desee que el programa se repita co

Start and End Times: Debe configurar tanto la hora de comienzo comhasta dos periodos de un mismo día.

Once: Habilite esta opción cuando desee que la tarea programada se ejecu

mm/dd/aaaa hh:mm: Debe introducir tanto la fecha y hora de inicio co

Ejemplo: Tarea programada repetitivaEn este ejemplo hay un empleado a tiempo parcial llamado Tom que utiliza el accesasuntos personales después del trabajo. Usted creará una tarea programada para easociará a una directiva para denegar el tráfico TCP/IP saliente generado por el equ(10.1.1.5/32) fuera del horario de oficina normal.

WebUI

1. Tarea programadaObjects > Schedules > New: Introduzca los siguientes datos y haga clic en

Schedule Name: After hours

Comment: For non-business hours

Recurring: (seleccione)


302
Periodo 1:

Periodo 2:

Día de la semana

Hora comienzo

Hora final

Domingo 00:00 23:59

Lunes 00:00 06:00

Martes 00:00 06:00

Miércoles 00:00 06:00

Jueves 00:00 06:00

Viernes 00:00 06:00

Sábado 00:00 23:59

Día de la semana

Hora comienzo

Hora final

Domingo 17:00 23:59

Lunes 17:00 23:59

Martes 17:00 23:59

Miércoles 17:00 23:59

Jueves 17:00 23:59

Viernes 17:00 23:59

Sábado 17:00 23:59


303

lic en OK :

haga clic en OK :



Address Name: Tom

Comment: Temp



Zone: Trust

3. DirectivaPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Name: No Net

Source Address:

Address Book Entry: (seleccione), Tom



Service: HTTP

Action: Deny

Schedule: After hours


304

stop 23:59stop 06:00 start 17:00

stop 06:00 start 17:00

00 stop 06:00 start

0 stop 06:00 start

stop 06:00 start 17:00

0 stop 23:59 comment

ule “after hours”


CLI

1. Tarea programadaset schedule “after hours” recurrent sunday start 00:00 set schedule “after hours” recurrent monday start 00:00

stop 23:59set schedule “after hours” recurrent tuesday start 00:00

stop 23:59set schedule “after hours” recurrent wednesday start 00:

17:00 stop 23:59set schedule “after hours” recurrent thursday start 00:0

17:00 stop 23:59set schedule “after hours” recurrent friday start 00:00

stop 23:59set schedule “after hours” recurrent saturday start 00:0

“for non-business hours”

2. Direcciónset address trust tom 10.1.1.5/32 “temp”

3. Directivaset policy from trust to untrust tom any http deny schedsave

6

305

Capítulo 6

l tráfico entre zonas de ermitir todo el tráfico entre inado tráfico interzonal pase

ncia sobre el comportamiento pueda pasar por un dispositivo

ntre sí los diversos elementos

a la zona Untrust.


Directivas

El comportamiento predeterminado de un dispositivo NetScreen es rechazar todo eseguridad (tráfico interzonal)1 y, a excepción del tráfico dentro de la zona Untrust, pinterfaces asociadas a una misma zona (tráfico intrazonal). Para permitir que determpor un dispositivo NetScreen, debe crear directivas interzonales que tengan preferepredeterminado. De forma análoga, para impedir que determinado tráfico intrazonalNetScreen, debe crear las correspondientes directivas intrazonales.

En este capítulo se describe en qué consisten las directivas y cómo se relacionan eque componen una directiva. Está dividido en las secciones siguientes:

• “Elementos básicos” en la pàgina 307

• “Tres tipos de directivas” en la pàgina 308

– “Directivas interzonales” en la pàgina 308

– “Directivas intrazonales” en la pàgina 309

– “Directivas globales” en la pàgina 310

• “Listas de conjuntos de directivas” en la pàgina 311

• “Definición de directivas” en la pàgina 312

– “Directivas y reglas” en la pàgina 312

– “Anatomía de una directiva” en la pàgina 314

• “Directivas aplicadas” en la pàgina 329

– “Visualización de directivas” en la pàgina 329

– “Creación de directivas” en la pàgina 331

– “Introducción del contexto de una directiva” en la pàgina 348

1. De forma predeterminada, los dispositivos NetScreen-5XP y NetScreen-5XT permiten el tráfico desde la zona Trust

Capítulo 6 Directivas

306

e tenga que configurar Directivas multicast” en la


– “Varios elementos por componente de directiva” en la pàgina 349

– “Negación de direcciones” en la pàgina 351

– “Modificación y desactivación de directivas” en la pàgina 355

– “Verificación de directivas” en la pàgina 356

– “Reordenamiento de directivas” en la pàgina 357

– “Eliminación de una directiva” en la pàgina 358

Nota: Si configura el enrutamiento multicast en un dispositivo NetScreen, puede qudirectivas multicast. Para obtener información sobre directivas multicast, consulte “pàgina 6 -208.

Capítulo 6 Directivas Elementos básicos

307

dos de forma unidireccional es y la acción invocada onentes, los elementos

esde una zona de origen a una

tráfico

l tráfico

cibe tráfico que cumple los o tunnel (tunelizar)

desde cualquier dirección de la

na Untrust)

la zona Trust. El término “any” na)

por el usuario en la libreta de

r Protocol”)

vesar su cortafuegos)


ELEMENTOS BÁSICOSUna directiva permite, deniega o canaliza por un túnel2 los tipos de tráfico especificaentre dos puntos. El tipo de tráfico (o “servicio”), la ubicación de los dos puntos finalcomponen los elementos básicos de una directiva. Aunque puede haber otros comprequeridos, que juntos constituyen el núcleo de una directiva, son los siguientes:

• Direction (Sentido): La dirección del tráfico entre dos zonas de seguridad (dzona de destino)

• Source address (Dirección de origen): La dirección desde la que se inicia el

• Destination address (Dirección de destino): La dirección a la que se envía e

• Service (Servicio): El tipo de tráfico transmitido

• Action (Acción): La acción realizada por el dispositivo NetScreen cuando recuatro primeros criterios: deny (denegar), permit (permitir), reject (rechazar)

Por ejemplo, la directiva indicada en el comando CLI siguiente permite el tráfico FTPzona Trust a un servidor FTP llamado “server1” en la zona DMZ:

set policy from trust to untrust any server1 ftp permit

• Direction (Sentido): from trust to untrust (es decir, de la zona Trust a la zo

• Source address (Dirección de origen): any (es decir, cualquier dirección ensignifica una dirección predefinida aplicable a cualquier dirección de una zo

• Destination address (Dirección de destino): server1 (una dirección definidadirecciones de la zona Untrust)

• Service (Servicio): ftp (protocolo de tranferencia de archivos o “File Transfe

• Service (Servicio): El tipo de tráfico transmitido

• Action (Acción): permit (el dispositivo NetScreen permite a este tráfico atra

2. La acción “tunnel” (túnel VPN o L2TP) contiene implícitamente el concepto “permit” .

Capítulo 6 Directivas Tres tipos de directivas

308

ico que desee permitir desde

l que desea permitir cruzar

portar sus zonas de seguridad.

uede establecer directivas otra. Aplicando técnicas de activas y de “pseudosesiones” o, si tiene una directiva que Untrust, cuando el dispositivo creen comprueba el paquete na petición HTTP aprobada, el cortafuegos hacia host A en la espuestas al tráfico iniciado por t A en la zona Trust.

Zona UntrustServidor B

Respuesta HTTPPetición HTTP

n deniega la petición HTTP ninguna directiva que lo permita.


TRES TIPOS DE DIRECTIVASPuede controlar el flujo de tráfico mediante las tres clases de directivas siguientes:

• Mediante la creación de directivas interzonales puede regular el tipo de tráfuna zona de seguridad a otra.

• Mediante directivas intrazonales también puede controlar el tipo de tráfico ainterfaces asociadas a la misma zona.

• Creando directivas globales puede regular el tráfico entre direcciones, sin im

Directivas interzonalesLas directivas interzonales permiten controlar el tráfico entre zonas de seguridad. Pinterzonales para denegar, permitir, rechazar o tunelizar el tráfico desde una zona ainspección de estado, un dispositivo NetScreen mantiene una tabla de sesiones TCPUDP activas para poder permitir respuestas a las peticiones de servicio. Por ejemplpermite enviar peticiones HTTP del host A de la zona Trust al servidor B de la zonaNetScreen recibe respuestas HTTP del servidor B para el host A, el dispositivo NetSrecibido con el contenido de su tabla. Si detecta que el paquete es una respuesta a udispositivo NetScreen permite al paquete del servidor B de la zona Untrust cruzar elzona Trust. Para permitir el tráfico iniciado por el servidor B hacia el host A (no sólo rel host A), debe crear una segunda directiva del servidor B en la zona Untrust al hos

Zona TrustHost A

set policy from trust to untrust “host A” “servidor B” http permit

Petición HTTPDispositivo NetScreen

Nota: El dispositivo NetScreedel servidor B porque no hay


309

la misma zona de seguridad. d, pero llegaron al dispositivo

directivas interzonales, las itir el tráfico iniciado en ntido.

e la red de origen (NAT-src) a les admiten NAT-src y NAT-dst ndo la directiva hace referencia ción sobre NAT-src, NAT-dst y

Servidor B10.1.2.30

4


Directivas intrazonalesLas directivas intrazonales permiten controlar el tráfico entre interfaces asociadas aLas direcciones de origen y de destino se encuentran en la misma zona de seguridaNetScreen a través de diferentes interfaces del dispositivo NetScreen. Igual que lasdirectivas intrazonales controlan el tráfico que fluye unidireccionalmente. Para permcualquier extremo de una ruta de datos, debe crear dos directivas, una para cada se

Las directivas intrazonales no admiten túneles VPN ni la traducción de direcciones dnivel de interfaz ( set interface interface nat ). Sin embargo, las directivas intrazonabasada en directivas. También admiten la traducción de direcciones de destino cuaa una dirección IP asignada (MIP) como dirección de destino. (Para obtener informaMIPs, consulte el Volumen 7, “Traducción de direcciones”.)

Host A10.1.1.5

set policy from trust to trust “host A” “servidor B” any permitset policy from trust to trust “servidor B” “host A” any permit

LAN 110.1.1.0/24

LAN 210.1.2.0/24


ethernet410.1.2.1/2

Zona Trust

Conmutadores de capa 2


310

hacen referencia a zonas de es de la zona Global definidas

pueden pasar por varias zonas s, puede crear una directiva todas las zonas.

traducción de direcciones de , especificar una MIP o VIP


Directivas globalesA diferencia de las directivas interzonales e intrazonales, las directivas globales no origen y de destino específicas. Las directivas globales hacen referencia a direccionpor el usuario o a la dirección “any” de la zona predefinida Global. Estas direccionesde seguridad. Por ejemplo, si desea proporcionar acceso hacia o desde varias zonaglobal con la dirección “any” de la zona Global, que abarca todas las direcciones de

Nota: En el momento de publicar esta versión, las directivas globales no admiten lared de origen (NAT-src), túneles VPN ni el modo transparente. Puede, sin embargocomo dirección de destino en una directiva global.

Capítulo 6 Directivas Listas de conjuntos de directivas

311

una por cada una de las

etecta la interfaz de entrada y itivo NetScreen realiza una stino está asociada esa realizar una consulta de

realiza una consulta de

aliza una consulta de directivas

zonal y no encuentra

globales y no encuentra a: unset/set policy

globales y no encuentra : unset/set zone zone block .

jo. Por lo tanto, las directivas ara obtener más información 57).


LISTAS DE CONJUNTOS DE DIRECTIVASUn dispositivo NetScreen mantiene tres diferentes listas de conjuntos de directivas,siguientes clases de directivas:

• Directivas interzonales

• Directivas intrazonales

• Directivas globales

Cuando el dispositivo NetScreen recibe un paquete de inicio de una nueva sesión, daverigua a qué zona de origen está asociada esa interfaz. A continuación, el disposconsulta de rutas para determinar la interfaz de salida y determina a qué zona de deinterfaz. Utilizando las zonas de origen y de destino, el dispositivo NetScreen puededirectivas, consultando las listas de conjuntos de directivas en el orden siguiente:

1. Si las zonas de origen y de destino son diferentes, el dispositivo NetScreendirectivas en la lista de conjuntos de directivas interzonales.

(o bien)

Si las zonas de origen y de destino son iguales, el dispositivo NetScreen reen la lista de conjuntos de directivas intrazonales.

2. Si el dispositivo NetScreen realiza la consulta de directivas interzonal o intracoincidencias, consulta la lista de conjuntos de directivas globales.

3. Si el dispositivo NetScreen realiza las consultas de directivas interzonales ycoincidencias, aplica al paquete la directiva permitir/denegar predeterminaddefault-permit-all .

(o bien)

Si el dispositivo NetScreen realiza las consultas de directivas intrazonales ycoincidencias, aplica al paquete el ajuste de bloqueo intrazonal de esa zona

El dispositivo NetScreen consulta cada lista de conjuntos de directivas de arriba abamás específicas deben ubicarse en la lista por encima de las menos específicas. (Psobre el orden de directivas, consulte “Reordenamiento de directivas” en la pàgina 3

Capítulo 6 Directivas Definición de directivas

312

lida. Como todo el tráfico debe conjuntos de directivas (para

puerto inalcanzable TCP RST filtrar y supervisar el tráfico que tos pueden entrar y salir, así

icas, y cada regla lógica consta servicio. Los componentes tes no.

irección de origen, la dirección ucho mayor de lo que puede glas lógicas:

= 125 reglas lógicas

ca. Las reglas utilizan el mismo edicha que produce 125 reglas

nentes

lógicas generadas por la e componentes en diferentes ada regla lógica tuviera una

s establecidas en el sistema


DEFINICIÓN DE DIRECTIVASUn cortafuegos representa el límite de una red con un solo punto de entrada y de sapasar a través de este punto, puede supervisarlo y dirigirlo implementando listas dedirectivas interzonales, directivas intrazonales y directivas globales).

Las directivas permiten denegar, permitir, rechazar (denegar y enviar un mensaje deo ICMP al host de origen), encriptar y desencriptar, autenticar, priorizar, programar, intente pasar de una zona de seguridad a otra. Usted decide qué usuarios y qué dacomo cuándo y a dónde pueden ir.

Directivas y reglasUna sola directiva definida por el usuario produce internamente una o más reglas lógde un conjunto de componentes: la dirección de origen, la dirección de destino y el consumen recursos de memoria. Las reglas lógicas que se refieren a los componen

Dependiendo de si en una directiva se utilizan múltiples entradas o grupos para la dde destino y los componentes del servicio, el número de reglas lógicas puede ser mparecer al crear la directiva única. Por ejemplo, la directiva siguiente produce 125 re

1 directiva: 5 direcciones de origen x 5 direcciones de destino x 5 servicios

Sin embargo, el dispositivo NetScreen no duplica componentes para cada regla lógiconjunto de componentes en diferentes combinaciones. Por ejemplo, la directiva antlógicas solamente contiene 15 componentes:

5 direcciones de origen + 5 direcciones de destino + 5 servicios = 15 compo

Estos 15 componentes se combinan de varias maneras para producir las 125 reglasdirectiva única. Permitiendo que múltiples reglas lógicas utilicen el mismo conjunto dcombinaciones, el dispositivo NetScreen consume muchos menos recursos que si crelación “uno a uno” con sus componentes.

Nota: Para los dispositivos NetScreen que admiten sistemas virtuales, las directivaraíz no afectan a las directivas establecidas en sistemas virtuales.


313

de componentes que el rápida cuantos menos parta un pequeño conjunto de rmite crear más reglas), que lo


Dado que el tiempo de instalación de una nueva directiva es proporcional al númerodispositivo NetScreen agrega, elimina o modifica, la instalación de directivas es máscomponentes haya. Asimismo, al permitir que un gran número de reglas lógicas comcomponentes, NetScreen permite crear más directivas (y el dispositivo NetScreen peque sería posible si cada regla requiriese componentes dedicados.


314

ediante CLI)

)


Anatomía de una directivaUna directiva debe contener los elementos siguientes:

• ID (generada automáticamente, aunque puede ser definida por el usuario m• Zonas (de origen y de destino)• Direcciones (de origen y de destino)• Servicios• Acción (permit (permitir), deny (denegar), reject (rechazar), tunnel (tunelizar

Una directiva también puede contener los elementos siguientes:

• Aplicación

• Nombre• Tunelización VPN• Tunelización L2TP• Deep Inspection• Colocación al principio de la lista de directivas• Traducción de direcciones de origen• Traducción de direcciones de destino• Autenticación de usuarios• Copia de seguridad de la sesión HA• Filtrado de URL• Registro• Recuento• Umbral de alarma de tráfico• Tareas programadas• Análisis antivirus• Asignación de tráfico

El resto de esta sección examina cada uno de los elementos antedichos.


315

si el dispositivo NetScreen lo ara una directiva ejecutando el de identificación, puede entrar (Para obtener más información en la pàgina 348).

seguridad (zona de seguridad), una entidad física o lógica que fluya entre dos zonas de irectiva intrazonal). (Para ” en la pàgina 308 y “Directivas

des por su ubicación en e especifican utilizando la os. Las redes se especifican una directiva para direcciones n la libreta de direcciones.

tras entradas en la libreta de ga presente que, debido a que isponible de reglas lógicas

mente de lo esperado. Esto ra el origen como para el

312).


IDCada directiva tiene un número de identificación, tanto si el usuario define uno comoasigna automáticamente. Solamente se puede definir un número de identificación pcomando “set policy” de CLI: set policy id number … Una vez conocido el número en el contexto de la directiva para ejecutar otros comandos con el fin de modificarla.sobre contextos de directivas, consulte “Introducción del contexto de una directiva”

ZonasUna zona puede ser un segmento del espacio de red al que se aplican medidas de un segmento lógico que tiene asociada una interfaz de túnel VPN (zona de túnel), orealiza una función específica (zona de función). Una directiva permite que el tráficoseguridad (directiva interzonal) o entre dos interfaces asociadas a la misma zona (dobtener más información, consulte “Zonas” en la pàgina 31, “Directivas interzonalesintrazonales” en la pàgina 309).

DireccionesLas direcciones son objetos que identifican dispositivos de red tales como hosts y rerelación al cortafuegos (en una de las zonas de seguridad). Los hosts individuales smáscara 255.255.255.255, que indica que los 32 bits de la dirección son significativutilizando su máscara de subred para indicar qué bits son significativos. Para crear específicas, primero debe crear entradas para los hosts y redes correspondientes e

También puede crear grupos de direcciones y aplicarles directivas como haría con odirecciones. Cuando utilice grupos de direcciones como elementos de directivas, tenel dispositivo NetScreen aplica la directiva a cada dirección en el grupo, el número dinternas y de componentes que componen esas reglas se puede agotar más rápidasupone un peligro, especialmente cuando se utilizan grupos de direcciones tanto padestino. (Para obtener más información, consulte “Directivas y reglas” en la pàgina


316

ación de la capa 4, como los cios de aplicaciones como nidos. También se pueden

, encriptarse, autenticarse,


ServiciosLos servicios son objetos que identifican los protocolos de aplicación usando informnúmeros de puerto TCP y UDP estándar y universalmente aceptados para los serviTelnet, FTP, SMTP y HTTP. ScreenOS incluye servicios básicos de Internet predefidefinir servicios personalizados.

Puede definir directivas que especifiquen qué servicios deben permitirse, denegarseregistrarse o contabilizarse.


317

tráfico que recibe.

vo NetScreen descarta el origen para el tráfico TCP3 y un 3) para el tráfico UDP. Para los paquete sin notificar al host de

Para un túnel VPN IPSec, el L2TP debe utilizarse. Para y un túnel L2TP4.

ios presentados anteriormente:

código activado que no sea RST.

otocolo es TCP, la dirección IP al (descartado). Cuando la rección IP de origen en el l. Sin embargo, si la interfaz de origen en el mensaje ICMP es

nel L2TP.


AcciónUna acción es un objeto que describe el tratamiento que el cortafuegos debe dar al

• Deny bloquea el paquete y le impide atravesar el cortafuegos.

• Permit permite que el paquete atraviese el cortafuegos.

• Reject bloquea el paquete y le impide atravesar el cortafuegos. El dispositipaquete y envía un segmento de restablecimiento (RST) de TCP al host de mensaje de “destino inalcanzable, puerto inalcanzable” ICMP (tipo 3, códigotipos de tráfico distintos de TCP y UDP, el dispositivo NetScreen descarta elorigen, lo cual también ocurre cuando la acción es “deny”.

• Tunnel encapsula los paquetes IP salientes y desencapsula los entrantes. especifique qué túnel VPN utilizar. Para un túnel L2TP, especifique qué túnL2TP sobre IPSec (“L2TP-over-IPSec”), especifique un túnel VPN de IPSec

El dispositivo NetScreen aplica la acción especificada al tráfico que cumple los criterzonas (origen y destino), direcciones (origen y destino) y servicio.

3. El dispositivo NetScreen envía un TCP RST después de recibir (y descartar) un segmento TCP con cualquier bit de

Nota: Cuando la interfaz de entrada está operando en la capa 2 o 3 y el prde origen en el TCP RST es la dirección IP de destino en el paquete origininterfaz de entrada está operando en la capa 2 y el protocolo es UDP, la dimensaje ICMP coincide con la dirección IP de destino en el paquete originaentrada está operando en la capa 3 y el protocolo es UDP, la dirección IP dela de la interfaz de entrada.

4. Para L2TP sobre IPSec, las direcciones de origen y de destino del túnel VPN IPSec deben ser iguales que las del tú


318

io de capa 4 al que se hace n a una aplicación de capa 7. el servicio a una aplicación, de aplicación (ALG5) o Deep

s:

rotocolo de transporte y los

ción para el ALG que se desea

rsonalizado, consulte

su finalidad.

creenOS (aplicables a los onjuntos de caracteres” en la


AplicaciónLa opción de la aplicación especifica la aplicación de la capa 7 que apunta al servicreferencia en una directiva. Los servicios predefinidos ya disponen de una asignacióSin embargo, para los servicios personalizados es necesario vincular explícitamenteespecialmente si se desea que la directiva aplique una puerta de enlace de la capa Inspection al servicio personalizado.

La aplicación de un ALG a un servicio personalizado implica los dos pasos siguiente

• Definir un servicio personalizado con un nombre, un tiempo de espera, un ppuertos de origen y de destino.

• Al configurar una directiva, hacer referencia a ese servicio y al tipo de aplicaaplicar.

Para obtener más información sobre cómo aplicar Deep Inspection a un servicio pe“Asignación de servicios personalizados a aplicaciones” en la pàgina 4 -179.

NombrePuede dar a una directiva un nombre descriptivo para permitir identificar fácilmente

5. NetScreen admite ALGs para numerosos servicios, a saber: DNS, FTP, H.323, HTTP, RSH, SIP, Telnet y TFTP.

Nota: Para obtener más información sobre las convenciones de nomenclatura de Snombres creados para las directivas), consulte “Convenciones de nomenclatura y cpàgina xiv.


319

do. En WebUI, la opción “VPN odos los túneles disponibles unto a punto” en la

basada en directivas, los ctiva de tráfico saliente y otra yen un par coincidente (es n iguales, salvo que las y seleccionar la casilla de e una segunda directiva para el ión “Matching VPN Policy” está te que sea un miembro de un ualquier cambio realizado en

aya configurado. En WebUI, la rfaz CLI, puede visualizar el ver todos los túneles N con un túnel L2TP (si ambos ada uno. Esto se llama

últiples entradas para ninguno o o servicio.


Tunelización VPNPuede aplicar una sola o varias directivas a cualquier túnel VPN que tenga configuraTunnel” abre una lista desplegable de todos esos túneles. En CLI puede consultar tejecutando el comando get vpn . (Para obtener más información, consulte “VPNs ppàgina 5 -103 y “VPNs de acceso telefónico” en la pàgina 5 -233).

Cuando las configuraciones VPN de ambos extremos de un túnel VPN utilizan NATadministradores de ambos dispositivos de puerta de enlace necesitan crear una direde tráfico entrante (cuatro directivas en total). Cuando las directivas de VPN constitudecir, las configuraciones de las directivas de tráfico entrante y de tráfico saliente sodirecciones de origen y de destino están invertidas), puede configurar una directiva verificación Modify matching bidirectional VPN policy para crear automáticamentsentido opuesto. Para la configuración de una nueva directiva, la casilla de verificacdesactivada de forma predeterminada. Para la modificación de una directiva existenpar coincidente, la casilla de verificación está activada de forma predeterminada, y cuna directiva se propagará a la otra.

Tunelización L2TPPuede aplicar una sola directiva o varias a cualquier túnel del protocolo (L2TP) que hopción de L2TP proporciona una lista desplegable de todos esos túneles. En la inteestado de los túneles L2TP activos mediante el comando get l2tp tunn_str active ydisponibles mediante el comando get l2tp all . También puede combinar un túnel VPtienen el mismo punto final) para crear un túnel que combine las características de c“L2TP-over-IPSec” (L2TP sobre IPSec).

Nota: Esta opción solamente está disponible a través de WebUI. No puede haber mde los componentes de directiva siguientes: dirección de origen, dirección de destin

Nota: Un dispositivo NetScreen en modo transparente no admite L2TP.


320

rk y Transport, examinando no de aplicación6. El objetivo de que pudiera existir en el tráfico

iones: qué grupo (o grupos) de ación, consulte “Deep

la lista de conjuntos de e los métodos de reordenación vitar el paso adicional de e conjuntos de directivas,

ave top en el comando

4 y la capa “Application” es la 7. El e compone de siete capas.


Deep InspectionDeep Inspection es un mecanismo para filtrar el tráfico permitido en las capas Netwosolamente estas capas, sino las características de contenido y protocolo en la capaDeep Inspection es detectar y prevenir cualquier ataque o comportamiento anómalopermitido por el cortafuegos NetScreen.

Para configurar una directiva para la protección frente a ataques, debe elegir dos opcataque utilizar y qué acción tomar si se detecta un ataque. (Para obtener más informInspection” en la pàgina 4 -135).

Colocación al principio de la lista de directivasDe forma predeterminada, NetScreen coloca las directivas recién creadas al final dedirectivas. Si necesita cambiar la posición de la directiva, puede utilizar cualquiera dde directivas explicados en “Reordenamiento de directivas” en la pàgina 357. Para ecambiar la posición de una directiva recién creada en la parte superior de una lista dpuede seleccionar la opción Position at Top de WebUI, o bien utilizar la palabra clset policy ( set policy top … ) de CLI.

6. En el modelo OSI (“Open Systems Interconnection ”), la capa “Network” es la 3 (“Layer 3”), la capa “Transport” es lamodelo OSI es un modelo estándar en el sector de redes de una arquitectura de protocolos de red. El modelo OSI s


321

Con NAT-src puede traducir la ión de origen puede proceder dmite la traducción de as las opciones de NAT-src

5.

Con NAT-dst puede traducir la n admite la asignación de -dst disponibles, consulte

origen autentique su identidad ravesar el cortafuegos o s local o un servidor RADIUS,

nterfaz, conocida como el de interfaz NAT-src, o

direcciones IP, se requerirá

un host Unix ejecutando esto de usuarios de ese host ción, al haber heredado los


Traducción de direcciones de origenPuede aplicar la traducción de direcciones de origen (NAT-src) al nivel de directivas.dirección de origen en la red entrante o saliente y en el tráfico VPN. La nueva direccde un conjunto de IPs dinámicas (DIP) o de la interfaz de salida. NAT-src también adirecciones de los puertos de origen (PAT). Para obtener más información sobre toddisponibles, consulte “Traducción de direcciones de red de origen” en la pàgina 7 -1

Traducción de direcciones de destinoPuede aplicar la traducción de direcciones de destino (NAT-dst) a nivel de directiva.dirección de origen en la red entrante o saliente y en el tráfico VPN. NAT-dst tambiépuertos de destino. Para obtener más información sobre todas las opciones de NAT“Traducción de direcciones de red de destino” en la pàgina 7 -35.

Autenticación de usuariosSeleccionar esta opción requiere que el usuario de autenticación en la dirección de proporcionando un nombre de usuario y la contraseña antes de permitir al tráfico atintroducirse en el túnel VPN. El dispositivo NetScreen puede utilizar la base de datoSecurID o LDAP externo para realizar la comprobación de la autenticación.

Nota: También puede realizar la traducción de direcciones de origen a nivel de la itraducción de direcciones de red (NAT). Para obtener más información sobre el nivsimplemente NAT, consulte “Modo NAT” en la pàgina 127.

Nota: Si una directiva que requiere autenticación puede aplicarse a una subred deautenticación para cada dirección IP de esa subred.

Si un host admite múltiples cuentas de usuarios de autenticación (como ocurre conTelnet), una vez que el dispositivo NetScreen ha autenticado al primer usuario, el rpueden enviar tráfico a través del dispositivo NetScreen sin necesidad de autenticaprivilegios del primer usuario.


322

licita al usuario de cumpla una directiva en la que

través del dispositivo


NetScreen proporciona dos esquemas de autenticación:

• Autenticación en tiempo de ejecución, en la cual el dispositivo NetScreen soautenticación que inicie una sesión al recibir tráfico HTTP, FTP o Telnet queesté habilitada la autenticación.

• WebAuth, en la cual el usuario debe autenticarse para poder enviar tráfico aNetScreen.


323

TP o Telnet a la dirección de búfer.

etición de inicio de sesión.

ario y contraseña.

ario de autenticación.

e autenticación y la dirección

siguientes: Telnet, HTTP o autenticación. En una directiva servicios:

como mínimo uno de los tres HTTP). Por ejemplo, puede los servicios FTP, NetMeeting© io.

especificados en la directiva

del servidor de WebAuth.

etición de inicio de sesión.

o servicio.


Autenticación en tiempo de ejecución

El proceso de autenticación en tiempo de ejecución ocurre como sigue:

1. Cuando el usuario de autenticación envía una petición de conexión HTTP, Fdestino, el dispositivo NetScreen intercepta el paquete y lo almacena en un

2. El dispositivo NetScreen envía al usuario de autenticación un mensaje de p

3. El usuario de autenticación responde a esta petición con su nombre de usu

4. El dispositivo NetScreen autentica la información de inicio de sesión de usu

Si la autenticación es correcta, se establece una conexión entre el usuario dde destino.

Para la petición de conexión inicial, la directiva debe incluir uno o todos los serviciosFTP. Sólo una directiva con uno o todos estos servicios puede iniciar el proceso deque implique autenticación de usuario se puede utilizar cualquiera de los siguientes

• Any (porque “any” (cualquiera) incluye los tres servicios requeridos)

• Telnet, FTP o HTTP

• Un grupo de servicios que incluye el servicio o los servicios que desea, másservicios requeridos para iniciar el proceso de autenticación (Telnet, FTP o crear un grupo de servicios personalizado llamado “Login” que proporcione y H.323. Luego, cuando cree la directiva, especifique “Login” como el servic

Para cualquier conexión que sigue a una autenticación correcta, todos los serviciosson válidos.

Autenticación de comprobación previa a la directiva (WebAuth)

El proceso de autenticación de WebAuth es como sigue:

1. El usuario de autenticación establece una conexión HTTP a la dirección IP

2. El dispositivo NetScreen envía al usuario de autenticación un mensaje de p

Nota: Una directiva con la autenticación habilitada no admite DNS (puerto 53) com


324

ario y contraseña.

información de inicio de sesión

usuario de autenticación iniciar icación por el método de

aplicarse la directiva resión de grupo. (Para obtener la pàgina 8 -6). Si en una s (en WebUI, seleccionando la l servidor especificado.

ponibilidad (HA), puede o desee salvaguardar, aplique casilla de verificación HA set policy . De forma esiones.

suarios, consulte “Referencias

esde el que se conecta el ost situado detrás de un los usuarios de otros hosts legios.


3. El usuario de autenticación responde a esta petición con su nombre de usu

4. El dispositivo NetScreen o un servidor de autenticación externo autentica ladel usuario de autenticación.

Si el intento de autenticación tiene éxito, el dispositivo NetScreen permite altráfico a los destinos especificados en las directivas que obligan a la autentWebAuth.

Puede restringir o ampliar el rango de los usuarios de autenticación a quienes debaseleccionando un determinado grupo de usuarios, usuario local o externo o una expmás información sobre expresiones de grupos, consulte “Expresiones de grupos” endirectiva no se hace referencia a un usuario de autenticación o a un grupo de usuarioopción Allow Any ), la directiva se aplicará a todos los usuarios de autenticación de

Copia de seguridad de la sesión HACuando dos dispositivos NetScreen se encuentran en un clúster NSRP para alta disespecificar qué sesiones salvaguardar y cuáles no. Para el tráfico cuyas sesiones nuna directiva con la opción HA session backup desactivada. En WebUI, desactive laSession Backup . En CLI, utilice el argumento no-session-backup en el comandopredeterminada, los dispositivos NetScreen de un clúster NSRP salvaguardan las s

Nota: Para obtener más información sobre estos dos métodos de autenticación de ua usuarios autenticados en directivas” en la pàgina 8 -44.

Nota: NetScreen vincula los privilegios de autenticación a la dirección IP del host dusuario de autenticación. Si el dispositivo NetScreen autentica a un usuario de un hdispositivo NAT que utilice una sola dirección IP para todas las asignaciones NAT, situados detrás de ese dispositivo NAT recibirán automáticamente los mismos privi


325

sos a Internet e impedir el tiva, debe configurar una de las

etición HTTP y determina si ado de URL asociado a la

petición HTTP de una conexión quear o permitir el acceso a

IP.

s las conexiones a las WebUI o CLI. En WebUI, r). En CLI, utilice el comando

úmero total de bytes de tráfico ial. Para visualizar los gráficos la directiva cuyo tráfico desea

URL” en la pàgina 4 -111.

sulte “Supervisión de


Filtrado de URLEl filtrado de URL, denominado también “web filtering”, permite administrar los acceacceso a contenidos no apropiados. Cuando habilite el filtrado de URL en una direcsiguientes soluciones de filtrado de URL:

• Filtrado de URL integrado, donde el dispositivo NetScreen intercepta cada ppermitir o bloquear el acceso al sitio solicitado basándose en el perfil de filtrdirectiva del cortafuegos.

• Filtrado de URL redirigido, donde el dispositivo NetScreen envía la primera TCP a un servidor Websense o a un servidor SurfControl, lo que permite blodiferentes sitios basándose en las URL, nombres de dominio y direcciones

RegistroCuando se habilita el registro en una directiva, el dispositivo NetScreen registra todaque esa directiva en particular sea aplicable. Los registros se pueden visualizar conhaga clic en Reports > Policies > (para la directiva cuyo registro desee consulta get log traffic policy id_num .

RecuentoCuando se habilita el recuento en una directiva, el dispositivo NetScreen cuenta el npara los que esa directiva es aplicable y registra la información en gráficos de historde historial de una directiva en WebUI, haga clic en Reports > Policies > (para consultar).

Nota: Para obtener más información sobre el filtrado de URL, consulte “Filtrado de

Nota: Para obtener más información sobre cómo visualizar registros y gráficos, condispositivos NetScreen” en la pàgina 3 -85.


326

la directiva exceda un número rma de tráfico requiere que el función de recuento.

ivarse esa directiva. Puede oporcionan una potente sta. Como ejemplo de esto uera de la empresa, puede spués del horario de oficina

, ejecute el comando

e configurar para filtrar tráfico descarta el paquete y envía un

e tráfico” en la pàgina 3 -105.

ar que la hora actual no está arece con un fondo blanco.

ntivirus” en la pàgina 4 -86.


Umbral de alarma de tráficoPuede establecer un umbral que dispare una alarma cuando el tráfico permitido porespecificado de bytes por segundo, bytes por minuto, o ambos. Debido a que la aladispositivo NetScreen supervise el número total de bytes, también debe habilitar la

Tareas programadasAsociando una programación a una directiva se puede determinar cuándo debe actconfigurar programaciones repetitivas y como evento único. Las programaciones prherramienta para controlar el flujo de tráfico de la red e implementar seguridad en éúltimo, si le preocupa que algunos empleados puedan transmitir datos importantes festablecer una directiva que bloquee los tipos de tráfico saliente FTP-Put y MAIL denormal.

En WebUI, defina tareas programadas en la sección Objects > Schedules . En CLIset schedule .

Análisis antivirusAlgunos dispositivos NetScreen admiten un analizador antivirus interno que se puedFTP, HTTP, IMAP, POP3 y SMTP. Si el analizador AV incorporado detecta un virus,mensaje al cliente que inició el tráfico para informarle sobre dicho virus.

Nota: Para obtener más información sobre alarmas de tráfico, consulte “Alarmas d

Nota: En WebUI, las directivas programadas aparecen con un fondo gris para indicdentro de la programación definida. Cuando una directiva programada se activa, ap

Nota: Para obtener más información sobre el análisis antivirus, consulte “Análisis a


327

tiva. Los parámetros de

segundo (kbps). El tráfico que ngún mecanismo de

de conexión en kilobits por

os ajustes garantizado y prioridad, y el tráfico de menor niveles de prioridad.

istema para etiquetar s. Puede asignar los ocho nada, la prioridad más alta 11) del campo “DiffServ” sulte la RFC 1349), en el ma de NetScreen corresponde

s a este umbral conducen al en el objetivo de la

consulte “Asignación de


Asignación de tráficoPuede establecer los parámetros de control y asignación del tráfico para cada direcasignación de tráfico son:

Guaranteed Bandwidth: Tasa de transferencia garantizada en kilobits porno alcanza este umbral pasa con la prioridad más alta sin ser sometido a niadministración o asignación del tráfico.

Maximum Bandwidth: Ancho de banda garantizado disponible para el tiposegundo (kbps). El tráfico más allá de este umbral se desvía y se descarta.

Traffic Priority: Cuando el ancho de banda del tráfico se encuentra entre lmáximo, el dispositivo NetScreen permite pasar primero el tráfico de mayorprioridad sólo cuando no hay otro tráfico de prioridad superior. Existen ocho

DiffServ Codepoint Marking: “Differentiated Services” (“DiffServ”) es un s(o “marcar”) el tráfico de una posición dentro de una jerarquía de prioridadeniveles de prioridad de NetScreen al sistema DiffServ. De forma predetermi(prioridad 0) del sistema NetScreen corresponde a los tres primeros bits (01(consulte la RFC 2474), o al campo de precedencia de IP del byte TOS (conencabezado de paquetes de IP. La prioridad más baja (prioridad 7) del sistea (0000) en el sistema TOS DiffServ.

Nota: Se aconseja no utilizar tasas inferiores a 10 kbps. Las tasas inferioredescarte de paquetes y a un número excesivo de reintentos que contravienadministración del tráfico.

Nota: Para averiguar más sobre la administración y asignación del tráfico, tráfico” en la pàgina 359.


328

sistema DiffServ, utilice el

er3 number4 number5

sistema TOS DiffServ),

ss selector codepoints”), es asegurar que los niveles de nte tratados por los

puede configurar desde CLI.


Para cambiar la asignación entre los niveles de prioridad de NetScreen y elsiguiente comando CLI:

set traffic-shaping ip_precedence number0 number1 number2 numbnumber6 number7

donde number0 corresponde a la prioridad 0 (la prioridad más alta delnumber1 corresponde a la prioridad 1, y así sucesivamente.

Para incluir prioridades de IPs en puntos de código selectores de clase (“cladecir, poner a cero el segundo grupo de tres bits del campo “DiffServ” para prioridad establecidos con ip_precedence se conserven y sean correctameenrutadores de bajada, utilice el comando CLI siguiente:

set traffic-shaping dscp-class-selector

Nota: El comando set traffic-shaping dscp-class-selector sólo se

Capítulo 6 Directivas Directivas aplicadas

329

icación, ordenación y

r las directivas mostradas por From y To , y haciendo clic en ber ] .

esumen gráfico de los s en la página de directivas.

el tráfico al que sea aplicable la

el tráfico al que sea aplicable la

el tráfico al que sea aplicable la un segmento de restablecimiento l tráfico TCP y un mensaje de

able” ICMP (tipo 3, código 3) para distintos de TCP y UDP, el ete sin notificar al host de origen, n es “deny”.

aducción de direcciones de la red ctivas (NAT-src o NAT-dst) sobre irectiva.


DIRECTIVAS APLICADASEsta sección describe la administración de directivas: visualización, creación, modifreordenación y eliminación de directivas.

Visualización de directivasPara visualizar directivas a través de WebUI, haga clic en Policies . Puede clasificazonas de origen y de destino, eligiendo nombres de zonas en las listas desplegables Go . En CLI, utilice el comando get policy [ all | from zone to zone | global | id num

Iconos de directivasPara visualizar una lista de directivas, WebUI utiliza iconos para proporcionarle un rcomponentes de la directiva. La tabla siguiente define los diferentes iconos utilizado

Icono Función Descripción

Permitir El dispositivo NetScreen entrega tododirectiva.

Denegar El dispositivo NetScreen bloquea tododirectiva.

Rechazo El dispositivo NetScreen bloquea tododirectiva. Descarta el paquete y envía(RST) de TCP al host de origen para e“destino inalcanzable, puerto inalcanzel tráfico UDP. Para los tipos de tráficodispositivo NetScreen descarta el paqulo cual también ocurre cuando la acció

NAT a nivel de directiva El dispositivo NetScreen realiza una trde origen o de destino basada en diretodo el tráfico al que sea aplicable la d


330

do el tráfico VPN saliente y ante al que sea aplicable la

ara el sentido opuesto.

una conexión.

tráfico al que sea aplicable la ) interno.

nspection (DI) a todo el tráfico al

cción antivirus y Deep Inspection directiva.

rvidor externo de filtrado de URL irectiva.

do el tráfico L2TP saliente y rante al que sea aplicable la

disposición de syslog y correo

tes) a cuánto tráfico es aplicable


Encapsulado y desencapsulado

El dispositivo NetScreen encapsula todesencapsula todo el tráfico VPN entrdirectiva.

Directivas VPN bidireccionales

Existe una directiva VPN coincidente p

Autenticación El usuario debe autenticarse al iniciar

Antivirus El dispositivo NetScreen envía todo eldirectiva a un analizador antivirus (AV

Deep Inspection El dispositivo NetScreen aplica Deep Ique sea aplicable la directiva.

Deep Inspection y antivirus

El dispositivo NetScreen aplica la protea todo el tráfico al que sea aplicable la

Filtrado de URL El dispositivo NetScreen envía a un setodo el tráfico al que sea aplicable la d

L2TP El dispositivo NetScreen encapsula todesencapsula todo el tráfico L2TP entdirectiva.

Registro Todo el tráfico se registra y se pone aelectrónico, si están habilitados.

Recuento El dispositivo NetScreen cuenta (en byla directiva.



331

enegar, rechazar o tunelizar el ntro de la misma zona si el onal entre las direcciones de s que utilizan direcciones de

y la zona Untrust) se necesita a Trust. Dependiendo de sus diferentes, invirtiendo las

tema, ya sea raíz o virtual. Para s debe ser compartida. (Para

les, consulte el Volumen 9,

sa un umbral establecido, el rada en el registro de tráfico endo clic en el icono se accede al n de informes “Reports”.


Creación de directivasPara permitir el flujo de tráfico entre dos zonas, debe crear directivas para permitir, dtráfico entre esas zonas. También puede crear directivas para controlar el tráfico dedispositivo NetScreen es el único dispositivo de red capaz de enrutar el tráfico intrazorigen y de destino referidas en la directiva. También puede crear directivas globaleorigen y de destino en la libreta de direcciones de la zona Global.

Para permitir tráfico bidireccional entre dos zonas (por ejemplo, entre la zona Trust crear una directiva para el tráfico de Trust a Untrust y otra para el tráfico de Untrust necesidades, las directivas pueden utilizar la misma dirección IP o bien direcciones direcciones de origen y destino.

Ubicación de directivasSe pueden definir directivas entre cualesquiera zonas situadas dentro del mismo sisdefinir una directiva entre el sistema raíz y un sistema virtual (vsys), una de las zonaobtener más información sobre zonas compartidas en lo referente a sistemas virtua“Sistemas virtuales”).

Alarma Cuando la cantidad de tráfico sobrepadispositivo NetScreen efectúa una entcorrespondiente a esta directiva. Haciregistro de tráfico situado en la secció



332

trónico.

ir correo electrónico de un ios MAIL (es decir, SMTP) y ara alcanzar el servidor de

s existente entre el servidor de

de seguridad, debe diseñar el asignará direcciones IP de

trust-vr.

ción IP 10.1.1.0/24.

ión IP 1.2.2.5/32.

irección IP 2.2.2.5/32.

os dos servicios predefinidos

trust-vr que señalará al

rmitir la transmisión,


Ejemplo: Servicio de correo de directivas interzonalesEn este ejemplo creará tres directivas para controlar el flujo de tráfico de correo elec

La primera directiva permitirá a los usuarios internos de la zona Trust enviar y recibservidor de correo local situado en la zona DMZ. Esta directiva permitirá a los servicPOP3 generados por los usuarios internos atravesar el cortafuegos de NetScreen pcorreo local.

Las directivas segunda y tercera permitirán al servicio MAIL atravesar el cortafuegocorreo local de la zona DMZ y un servidor de correo remoto de la zona Untrust.

Sin embargo, antes de crear directivas para controlar tráfico entre diferentes zonas entorno en el que aplicar esas directivas. Primero asociará interfaces a zonas y les interfaces:

• Asocie ethernet1 a la zona Trust y asígnele la dirección IP 10.1.1.1/24.

• Asocie ethernet2 a la zona DMZ y asígnele la dirección IP 1.2.2.1/24.

• Asocie ethernet3 a la zona Untrust y asígnele la dirección IP 1.1.1.1/24.

Todas las zonas de seguridad se encuentran en el dominio de enrutamiento

En segundo lugar, creará las direcciones que se utilizarán en las directivas:

• Defina una dirección en la zona Trust llamada “corp_net” y asígnele la direc

• Defina una dirección en la zona DMZ llamada “mail_svr” y asígnele la direcc

• Defina una dirección en la zona Untrust llamada “r-mail_svr” y asígnele la d

En tercer lugar, creará un grupo de servicios llamado “MAIL-POP3” que contendrá lMAIL y POP3.

En cuarto lugar, configurará una ruta predeterminada en el dominio de enrutamientoenrutador externo en 1.1.1.250 a través de ethernet3.

Una vez completados los pasos 1 a 4, podrá crear las directivas necesarias para perecuperación y entrega de correo electrónico dentro y fuera de su red protegida.


333


e)

OK:


e)


e)

lic en OK :


WebUI


Zone Name: Trust




Interface Mode: NAT


Zone Name: DMZStatic IP: (seleccione esta opción si es posiblIP Address/Netmask: 1.2.2.1/24


Zone Name: UntrustStatic IP: (seleccione esta opción si es posiblIP Address/Netmask: 1.1.1.1/24


Address Name: corp_net



Zone: Trust


334

lic en OK :

lic en OK :

a los siguientes servicios y haga






Address Name: mail_svr



Zone: DMZ


Address Name: r-mail_svr



Zone: Untrust

3. Grupos de serviciosObjects > Services > Groups: Introduzca el siguiente nombre de grupo, muevclic en OK :

Group Name: MAIL-POP3

Seleccione MAIL y utilice el botón << para m“Available Members” a la columna “Group M

Seleccione POP3 y utilice el botón << para m“Available Members” a la columna “Group M







335

y haga clic en OK :

t

haga clic en OK :

vr

haga clic en OK :

vr


5. DirectivasPolicies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos

Source Address:

Address Book Entry: (seleccione), corp_ne


Address Book Entry: (seleccione), mail_svr

Service: Mail-POP3

Action: Permit

Policies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y

Source Address:



Address Book Entry: (seleccione), r-mail_s

Service: MAIL

Action: Permit


Source Address:

Address Book Entry: (seleccione), r-mail_s



Service: MAIL

Action: Permit


336

gateway 1.1.1.250

permitpermitpermit


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet2 zone dmzset interface ethernet2 ip 1.2.2.1/24set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Direccionesset address trust corp_net 10.1.1.0/24set address dmz mail_svr 1.2.2.5/32set address untrust r-mail_svr 2.2.2.5/32

3. Grupos de serviciosset group service MAIL-POP3set group service MAIL-POP3 add mailset group service MAIL-POP3 add pop3


5. Directivasset policy from trust to dmz corp_net mail_svr MAIL-POP3set policy from dmz to untrust mail_svr r-mail_svr MAIL set policy from untrust to dmz r-mail_svr mail_svr MAIL save


337

subredes, y ambas están en la

uarios:

AP, MAIL y POP3.

nternet, siempre que se utenticación de usuarios

).

reo electrónico en la zona DMZ.

de correo local de la zona DMZ.

finida por el usuario acceso administrativo a los


Ejemplo: Conjunto de directivas interzonalesUna pequeña empresa de software, ABC Design, ha dividido su red interna en dos zona Trust. Estas dos subredes son:

• Engineering (con la dirección definida como “Eng”).

• Resto de la empresa (con la dirección definida como “Office”).

También tiene una zona DMZ para sus servidores de Web y correo electrónico.

El ejemplo siguiente presenta un conjunto típico de directivas para los siguientes us

• “Eng” puede utilizar todos los servicios de tráfico saliente salvo FTP-Put, IM

• Los usuarios de “Office” pueden utilizar el correo electrónico y el acceso a Iautentiquen a través de WebAuth. (Para obtener más información sobre la amediante WebAuth, consulte “Usuarios de autenticación” en la pàgina 8 -43

• Cada usuario de la zona Trust puede acceder a los servidores de web y cor

• Un servidor de correo remoto de la zona Untrust puede acceder al servidor

• También hay un grupo de administradores de sistemas (con la dirección de“sys-admins”), que disponen de permisos completos de acceso de usuario yservidores de la zona DMZ.

Enrutador externo

Enrutador interno

NetScreen

www.abc.commail.abc.com

“LAN” de “Eng”“LAN” de “Office”

Zona Trust

Zona Untrust

Zona DMZ

Internet


338

las interfaces, direcciones, iguración, consulte “Interfaces” 274 y el Volumen 6,

Acciónt, IMAP, MAIL, Rechazo

Permitir

-Get, HTTP, Permitir (+ WebAuth)

AcciónPermitir

TTPS) Permitir

Acciónicios: IMAP, Permitir

-Get, HTTP, Permitir

Permitir

AcciónPermitir


Este ejemplo se centra solamente en directivas y asume que ya tiene configuradas grupos de servicios y rutas necesarias. Para obtener más información sobre su confen la pàgina 53, “Direcciones” en la pàgina 143, “Grupos de servicios” en la pàgina “Enrutamiento dinámico”.

De zona - Dir origen A la zona - Dir destino ServicioTrust - Any Untrust - Any Com (grupo de servicios: FTP-Pu

POP3)

Trust - Eng Untrust - Any Any

Trust - Office Untrust - Any Internet (grupo de servicios: FTPHTTPS)

De zona - Dir origen A la zona - Dir destino ServicioUntrust - Any DMZ - mail.abc.com MAIL

Untrust - Any DMZ - www.abc.com Web (grupo de servicios: HTTP, H

De zona - Dir origen A la zona - Dir destino ServicioTrust - Any DMZ - mail.abc.com correo electrónico (grupo de serv

MAIL, POP3)

Trust - Any DMZ - www.abc.com Internet (grupo de servicios: FTPHTTPS)

Trust - sys-admins DMZ - Any Any

De zona - Dir origen A la zona - Dir destino ServicioDMZ - mail.abc.com Untrust - Any MAIL

Nota: La directiva predeterminada es denegar todo.


339

haga clic en OK :

haga clic en OK :



WebUI

1. De Trust, a Untrust


Source Address:

Address Book Entry: (seleccione), Eng



Service: ANY

Action: Permit


Source Address:

Address Book Entry: (seleccione), Office



Service: Internet7

Action: Permit


Authentication: (seleccione)

WebAuth: (seleccione)

7. “Internet” es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y HTTPS.


340

haga clic en OK :

haga clic en OK :

.com

ación predeterminada deniega



Source Address:




Service: Com8

Action: Reject


2. De Untrust, a DMZPolicies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y

Source Address:



Address Book Entry: (seleccione), mail.abc

Service: MAIL

Action: Permit

8. “Com” es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL, IMAP y POP3.

Nota: Para el tráfico de la zona Untrust a la zona Trust, la directiva de denegtodo.


341

haga clic en OK :

c.com

ga clic en OK :

.com



Source Address:



Address Book Entry: (seleccione), www.ab

Service: Web9

Action: Permit

3. De Trust, a DMZPolicies > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y ha

Source Address:




Service: e-mail10

Action: Permit

9. “Web” es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.

10. “e-mail” es un grupo de servicios con los siguientes miembros: MAIL, IMAP y POP3.


342

ga clic en OK :

c.com

ga clic en OK :

ins

haga clic en OK :

.com



Source Address:



Address Book Entry: (seleccione), www.ab

Service: Internet

Action: Permit


Source Address:

Address Book Entry: (seleccione), sys-adm



Service: ANY

Action: Permit

4. De DMZ, a UntrustPolicies > (From: DMZ, To: Untrust) New: Introduzca los siguientes datos y

Source Address:




Service: MAIL

Action: Permit


343

mit webauth

itt

mitrmit

it


CLI

1. De Trust, a Untrustset policy from trust to untrust eng any any permitset policy from trust to untrust office any Internet11 perset policy top from trust to untrust any any Com12 reject

2. De Untrust, a DMZset policy from untrust to dmz any mail.abc.com mail permset policy from untrust to dmz any www.abc.com Web13 permi

3. De Trust, a DMZset policy from trust to dmz any mail.abc.com e-mail14 perset policy from trust to dmz any www.abc.com Internet11 peset policy from trust to dmz sys-admins any any permit

4. De DMZ, a Untrustset policy from dmz to untrust mail.abc.com any mail permsave

11. “Internet” es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y HTTPS.

12. “Com” es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL, IMAP y POP3.

13. “Web” es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.

14. “e-mail” es un grupo de servicios con los siguientes miembros: MAIL, IMAP y POP3.


344

s acceder a un servidor zona Trust y le dará la dirección n IP 10.1.5.1/24. Habilitará el ara un servidor en el que la ue contiene los hosts del zonal para permitir el acceso al


e)

OK :


e)

OK :

clic en OK :


Ejemplo: Directivas intrazonalesEn este ejemplo creará una directiva intrazonal para permitir a un grupo de contableconfidencial de la LAN corporativa en la zona Trust. Primero asociará ethernet1 a la IP 10.1.1.1/24. Después asociará ethernet2 a la zona Trust y le asignará la direccióbloqueo intrazonal en la zona Trust. A continuación, definirá dos direcciones, una pempresa almacena sus registros financieros (10.1.1.100/32) y otra para la subred qdepartamento de contabilidad (10.1.5.0/24). Seguidamente creará una directiva intraservidor desde esos hosts.

WebUI

1. Zona Trust – Interfaces y bloqueoNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Zone Name: Trust




Interface Mode: NAT


Zone Name: Trust




Interface Mode: NAT

Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga

Block Intra-Zone Traffic: (seleccione)


345

lic en OK :

lic en OK :

haga clic en OK :

ng



Address Name: Hamilton



Zone: Trust


Address Name: accounting



Zone: Trust

3. DirectivaPolicies > (From: Trust, To: Trust) > New: Introduzca los siguientes datos y

Source Address:

Address Book Entry: (seleccione), accounti


Address Book Entry: (seleccione), Hamilton

Service: ANY

Action: Permit


346

ermit


CLI

1. Zona Trust – Interfaces y bloqueoset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat


set zone trust block

2. Direccionesset address trust Hamilton 10.1.1.100/32set address trust accounting 10.1.5.0/24

3. Directivaset policy from trust to trust accounting Hamilton any psave


347

acceder al sitio web de la do abreviado muy práctico para rará lo mismo que n directivas

lic en OK :

et

y haga clic en OK :

el dispositivo NetScreen.


Ejemplo: Directiva globalEn este ejemplo creará una directiva global para que cada host de cada zona puedaempresa, que es www.juniper.net15. La utilización de una directiva global es un métoentornos con muchas zonas de seguridad. En este ejemplo, una directiva global loginterzonales (donde n = número de zonas).

WebUI

1. Dirección globalObjects > Addresses > List > New: Introduzca los siguientes datos y haga c

Address Name: server1


Domain Name: (seleccione), www.juniper.n

Zone: Global

2. DirectivaPolicies > (From: Global, To: Global) > New: Introduzca los siguientes datos

Source Address:



Address Book Entry: (seleccione), server1

Service: HTTP

Action: Permit

15. Para utilizar un nombre de dominio en lugar de una dirección IP, asegúrese de tener configurado el servicio DNS en


348

o modificar datos. Por ejemplo,

permit attack

ión de origen o de destino, otro luego ejecutar los comandos

mpre que no elimine todos. Por r1 a la vez, porque no quedaría

ss server2

ss server1

ss server2ss server1


CLI

1. Dirección globalset address global server1 www.juniper.net

2. Directivaset policy global any server1 http permitsave

Introducción del contexto de una directivaAl configurar una directiva mediante CLI, puede introducir su contexto para agregar suponga que primero crea la directiva siguiente:

set policy id 1 from trust to untrust host1 server1 HTTPHIGH:HTTP:SIGS action close

Si desea efectuar algunos cambios en una directiva, como la inclusión de otra direccservicio u otro grupo de ataque, puede introducirse en el contexto de la directiva 1 ypertinentes:

set policy id 1ns(policy:1)-> set src-address host2ns(policy:1)-> set dst-address server2ns(policy:1)-> set service FTPns(policy:1)-> set attack CRITICAL:HTTP:SIGS

También puede eliminar varios elementos de un componente de directiva único, sieejemplo, puede eliminar server2 de la configuración anterior, pero no server2 y serveninguna dirección de destino:

ns(policy:1)-> unset dst-addre

ns(policy:1)-> unset dst-addre

ns(policy:1)-> unset dst-addrens(policy:1)-> unset dst-addre

Puede eliminar server2,

o puede eliminar server1,

pero no puede eliminar ambos.


349

a directiva:

ciones de origen y destino o iembros y luego hacer e pueden utilizar grupos de ales directamente a un

de los siguientes

to al componente al que desea el botón Attack Protection . << para moverlo a la columna haya terminado, haga clic en

s “Any”, no se le podrá agregar strando un mensaje de error


Varios elementos por componente de directivaScreenOS permite agregar múltiples elementos a los siguientes componentes de un

• Dirección de origen• Dirección de destino• Servicio• Grupo de ataque

En versiones anteriores a ScreenOS 5.0.0, la única manera de tener múltiples direcmúltiples servicios era crear un grupo de direcciones o de servicios con múltiples mreferencia al mismo en una directiva. En las directivas de ScreenOS 5.0.0 todavía sdirecciones y de servicios. Además, puede simplemente agregar elementos adicioncomponente de la directiva.

Para agregar múltiples elementos a un componente de directiva, ejecute cualquieraprocedimientos:

WebUI

Para agregar más direcciones y servicios, haga clic en el botón Multiple junagregar más elementos. Para agregar más grupos de ataque, haga clic en Seleccione un elemento en la columna “Available Members” y utilice la tecla“Active Members”. Puede repetir esta acción con otros elementos. Cuando OK para regresar a la página de configuración de directivas.

Nota: Si la primera dirección o servicio al que se hace referencia en una directiva elógicamente nada más. NetScreen impide este tipo de errores de configuración mocuando ocurren.


350
CLI

Introduzca el contexto de la directiva con el comando siguiente:

set policy id number

Ahora utilice uno de los comandos siguientes según convenga:

ns(policy: number )-> set src-address stringns(policy: number )-> set dst-address stringns(policy: number )-> set service stringns(policy: number )-> set attack string


351

alvo a la especificada como l acceso a Internet a todos

ón de negación de direcciones.

er clic en el botón Multiple directivas.

e origen o de destino.

s de la zona Trust acceder a e los miembros del entre sí.

aplicarlo. Primero habilitará el onsulta de directivas antes de misma zona.

IP:

la zona Trust.

aplicándose a todos los

ueda alcanzar su servidor FTP, an traspasar el cortafuegos de


Negación de direccionesPuede configurar una directiva de modo que sea aplicable a todas las direcciones sorigen o destino. Por ejemplo, suponga que desea crear una directiva que permita esalvo al grupo de direcciones “P-T_contractors”. Para lograrlo, puede utilizar la opci

En WebUI, esta opción está disponible en la ventana emergente que aparece al hacjunto a “Source Address” o a “Destination Address” en la página de configuración de

En CLI, inserte un signo de exclamación ( ! ) inmediatamente antes de la dirección d

Ejemplo: Negación de la dirección de destinoEn este ejemplo creará una directiva intrazonal que permitirá a todas las direccionetodos los servidores FTP salvo a un determinado servidor FTP llamado “vulcan”, qudepartamento de ingeniería utilizan para intercambiar especificaciones funcionales

Sin embargo, antes de crear la directiva deberá diseñar el entorno en el cual deseabloqueo intrazonal para la zona Trust. El bloqueo intrazonal requiere efectuar una cque el dispositivo NetScreen pueda pasar tráfico entre dos interfaces asociadas a la

En segundo lugar, asociará dos interfaces a la zona Trust y les asignará direcciones

• Asociará ethernet1 a la zona Trust y le asignará la dirección IP 10.1.1.1/24.

• Asociará ethernet4 a la zona Trust y le asignará la dirección IP 10.1.2.1/24.

Tercero, creará una dirección (10.1.2.5/32) para el servidor FTP llamado “vulcan” en

Después de completar estos dos pasos, podrá crear las directivas intrazonales.

Nota: La negación de direcciones ocurre en el nivel de componentes de directivas,elementos del componente negado.

Nota: No es necesario crear una directiva para que el departamento de ingeniería pya que los ingenieros también se encuentran en la subred 10.1.2.0/24 y no necesitNetScreen para alcanzar su propio servidor.


352

clic en OK :


e)

OK :

servidor FTP“vulcan”10.1.2.5

t424


WebUI

1. Bloqueo intrazonalNetwork > Zones > Edit (para Trust): Introduzca los siguientes datos y haga


Block Intra-Zone Traffic: (seleccione)

2. Interfaces de la zona TrustNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Zone Name: Trust




Interface Mode: NAT

Zona TrustBloqueo intrazonal

habilitado

10.1.2.0/24(Ingeniería)

10.1.1.0/24(Resto de corporate)

etherne10.1.2.1/


Conmutadores internos


353


e)

OK :

lic en OK :

ga clic en OK :

erificación Negate Following a de configuración básica de



Zone Name: Trust




Interface Mode: NAT


Address Name: vulcan



Zone: Trust

4. DirectivaPolicies > (From: Trust, To: Trust) New: Introduzca los siguientes datos y ha

Source Address:



Address Book Entry: (seleccione), vulcan

> Haga clic en Multiple , active la casilla de vy haga clic en OK para regresar a la págindirectivas.

Service: FTP

Action: Permit


354
CLI

1. Bloqueo intrazonalset zone trust block

2. Interfaces de la zona Trustset interface ethernet1 zone trustset interface ethernet1 ip 10.1.1.1/24set interface ethernet1 nat


3. Direcciónset address trust vulcan 10.1.2.5/32

4. Directivaset policy from trust to trust any !vulcan ftp permitsave


355

ar modificaciones. En WebUI, sea cambiar. En la página de K . En CLI, ejecute el comando

rma predeterminada, las

re” para la directiva que desee

“Configure” de la directiva que able (CLI).


Modificación y desactivación de directivasUna vez creada una directiva, puede volver a ella en cualquier momento para efectuhaga clic en el vínculo Edit de la columna “Configure” para elegir la directiva que deconfiguración correspondiente a esa directiva, realice sus cambios y haga clic en O set policy .

ScreenOS también proporciona un medio para habilitar e inhabilitar directivas. De fodirectivas están habilitadas. Para desactivarlas, haga lo siguiente:

WebUI

Policies: Desactive la casilla de verificación Enable de la columna “Configudesactivar.

La fila de texto de una directiva inhabilitada aparece en color gris.

CLI

set policy id id_num disablesave

Nota: Para volver a habilitar la directiva, seleccione Enable en la columnadesee habilitar (WebUI), o ejecute el comando unset policy id id_num dis


356

de la lista de directivas es iguiente:tyipio, deja de buscar tan pronto sitivo NetScreen nunca alcanza ión “dst-A” más específica de la ión en la zona Trust asociada a ia en la directiva 1.iendo la más específica en

yt

casos donde hay docenas o ctivas puede no resultar tan cute el comando CLI siguiente:

al. Es responsabilidad del

una combinación de directivas in embargo, las directivas 1 y 2

permit permitdeny

ectivas siempre se encuentra antes que detecta una coincidencia con el servicio, si hay otra directiva aplicable nunca alcanzará la segunda.


Verificación de directivasScreenOS ofrece una herramienta para verificar si el orden de las directivas dentro válido. Una directiva puede eclipsar (“ocultar”) otra directiva. Considere el ejemplo s

set policy id 1 from trust to untrust any any HTTP permiset policy id 2 from trust to untrust any dst-A HTTP den

Como el dispositivo NetScreen consulta la lista de directivas comenzando por el princcomo encuentra una coincidencia de tráfico recibido. En el ejemplo antedicho, el dispola directiva 2 porque la dirección de destino “any” de la directiva 1 ya incluye la direccdirectiva 2. Cuando un paquete HTTP llega al dispositivo NetScreen desde una direccdst-A en la zona Untrust, el dispositivo NetScreen siempre encontrará una coincidencPara corregir el ejemplo antedicho, basta con invertir el orden de las directivas, ponprimer lugar:

set policy id 2 from trust to untrust any dst-A HTTP denset policy id 1 from trust to untrust any any HTTP permi

Por supuesto, este ejemplo tan simple sólo pretende ilustrar el concepto básico. Enincluso centenares de directivas, la detección de directivas eclipsadas por otras diresencilla. Para comprobar si hay alguna directiva oculta16 en su lista de directivas, eje

exec policy verifyEste comando informa sobre las directivas ocultadas y sobre la ocultación en generadministrador corregir la situación.La herramienta de verificación de directivas no puede detectar los casos en los queoculta otra directiva. En el ejemplo siguiente, ninguna directiva oculta la directiva 3; sjuntas sí la ocultan:

set group address trust grp1 add host1set group address trust grp1 add host2set policy id 1 from trust to untrust host1 server1 HTTPset policy id 2 from trust to untrust host2 server1 HTTPset policy id 3 from trust to untrust grp1 server1 HTTP

16. El concepto de “ocultación” de directivas se refiere al hecho de que una directiva situada más arriba en la lista de dirque una directiva situada más abajo. Debido a que la consulta de directivas utiliza siempre la primera directiva en laregistro de cinco elementos de las zonas de origen y de destino, con las direcciones de origen y destino y con el tipo deal mismo registro (o a un subconjunto de registros), la consulta de directivas utilizará la primera directiva de la lista y


357

las directivas, comenzando por ulte “Listas de conjuntos de

tScreen aplica la acción rio reordenar las directivas e la aplicación de una directiva

en la lista que una específica sí

conjuntos de directivas. ina de configuración de ue la palabra clave top al

siguientes procedimientos:

chas circulares o haciendo clic ue desee mover.

la hacia arriba en la lista, r.

over y una tabla mostrando las


Reordenamiento de directivasEl dispositivo NetScreen compara todos los intentos de atravesar el cortafuegos conla primera que aparece en el conjunto de directivas de la lista correspondiente (consdirectivas” en la pàgina 311) y avanzando en la lista. Debido a que el dispositivo Neespecificada en la directiva a la primera directiva que coincide en la lista, es necesadesde la más específica a la más general. (Aunque una directiva específica no impidmás general situada más abajo en la lista, una directiva general situada más arriba lo impide).

De forma predeterminada, una directiva recién creada aparece al final de la lista deExiste una opción que permite colocar una directiva al principio de la lista. En la págdirectivas de WebUI, active la casilla de verificación Position at Top . En CLI, agregcomando set policy : set policy top …

Para mover una directiva a otra posición dentro de la lista, ejecute cualquiera de los

WebUI

Hay dos maneras de reordenar directivas en WebUI: haciendo clic en las fleen la flecha única de la columna “Configure” correspondiente a la directiva q

Si hace clic en las flechas circulares:

Aparecerá un cuadro de diálogo con un mensaje para el usuario.

Para mover la directiva al final de la lista, introduzca <-1>. Para moverintroduzca el número de identificación de la directiva que desea move

Haga clic en OK para ejecutar el movimiento.

Si hace clic en la flecha única:

Aparecerá la página “Policy Move” mostrando la directiva que desea motras directivas.


358

e Location”, contiene flechas rectiva. Haga clic en la flecha .

cación.

rla. En WebUI, haga clic en ar. Cuando el sistema le pida omando unset policy id_num .


En la tabla que muestra las otras directivas, la primera columna, “Movseñalando hacia las diversas ubicaciones a las que puede mover la dique apunte a la ubicación en la lista a la que desea mover la directiva

La página “Policy List” reaparecerá con la directiva movida en su nueva ubi

CLI

set policy move id_num { before | after } numbersave

Eliminación de una directivaAdemás de modificar y cambiar la posición de una directiva, también puede elimina Remove en la columna “Configure” correspondiente a la directiva que desea eliminconfirmación para proceder con la eliminación, haga clic en Yes . En CLI, utilice el c

7

359

Capítulo 7

administrar el ancho de banda uarios.

360


Asignación de tráfico

Este capítulo presenta las múltiples formas de utilizar un dispositivo NetScreen paralimitado sin comprometer la calidad y disponibilidad de la red de cara a todos los us

Los temas tratados son:

• “Aplicación de la asignación de tráfico” en la pàgina 360

– “Administración del ancho de banda a nivel de directivas” en la pàgina

• “Establecimiento de las prioridades del servicio” en la pàgina 367

Capítulo 7 Asignación de tráfico Aplicación de la asignación de tráfico

360

e banda disponible en la red a apropiada se entiende la ality of Service” o “QoS”) s y aplicando los controles

ado, el ancho de banda z se asigna al parámetro de anda sobrante es a garantizado y comparte la ancho de banda máximo).

activa la asignación de ra otras directivas, el particular, con los

las que haya desactivado la ndo CLI set traffic-shaping g mode auto . Esto permite

la cuando no la requiera.

e destino tenga asociada de destino contiene una o

ra obtener más información sobre


APLICACIÓN DE LA ASIGNACIÓN DE TRÁFICOPor asignación de tráfico se entiende la asignación de la porción apropiada del ancho da cada usuario y aplicación en una determinada interfaz. Por porción de ancho de bandcombinación óptima entre capacidad de transmisión rentable y calidad de servicio (“Qugarantizada. Los dispositivos NetScreen permiten configurar el tráfico creando directivade tasa de transmisión apropiados a cada clase de tráfico que pasa por ellos.

Administración del ancho de banda a nivel de directivasPara clasificar el tráfico, cree una directiva que especifique el ancho de banda garantizmáximo y la prioridad de cada clase de tráfico. El ancho de banda físico de cada interfaancho de banda garantizado para todas las directivas. Cualquier porción de ancho de bcompartible por cualquier otro tráfico. Es decir, cada directiva obtiene su ancho de bandporción sobrante (no utilizada) basándose en la prioridad (siendo el límite su ajuste de

La función de asignación de tráfico es aplicable al tráfico de todas las directivas. Si destráfico para una directiva específica, pero mantiene activada la asignación de tráfico pasistema aplica una directiva de asignación de tráfico predeterminada a esa directiva enparámetros siguientes:

• Ancho de banda garantizado 0• Ancho de banda máximo ilimitado• Prioridad de 7 (el ajuste de prioridad más bajo)1

Si no desea que el sistema aplique esta directiva predeterminada a las directivas para asignación de tráfico, desactive el sistema de asignación de tráfico ejecutando el comamode off . Puede poner la asignación de tráfico en modo automático: set traffic-shapinal sistema activar la asignación de tráfico cuando una directiva la requiera y desactivar

Nota: Solamente se puede aplicar la asignación de tráfico a las directivas cuya zona duna única interfaz física. NetScreen no puede realizar asignación de tráfico si la zona más subinterfaces o más de una interfaz física.

1. Puede habilitar una correspondencia de los niveles de prioridad de NetScreen al sistema DiffServ Codepoint Marking. PaDS Codepoint Marking, consulte “Asignación de tráfico” en la pàgina 6-327.


361

s departamentos de la misma trust.



ble.

Internet

Untrust

Zona DMZ


Ejemplo: Asignar tráficoEn este ejemplo distribuirá 45 Mbps de ancho de banda de una interfaz T3 entre tresubred. La interfaz ethernet1 está asociada a la zona Trust y ethernet3 a la zona Un

WebUI

1. Ancho de banda en interfacesNetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Traffic Bandwidth: 450002



2. Si no especifica los ajustes de ancho de banda de una interfaz, NetScreen utilizará el ancho de banda físico disponi

Marketing: 10 Mbps de entrada, 10 Mbps de salida

Sales: 5 Mbps de entrada, 10 Mbps de salida

Support: 5 Mbps de entrada, 5 Mbps de salida

DMZ para servidores

Enrutador Enrutador

T3–45 Mbps

Zona Trust Zona


362

haga clic en OK :

g


0000

00

haga clic en OK :


2. Ancho de banda en directivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Name: Marketing Traffic Shaping

Source Address:

Address Book Entry: (seleccione), Marketin



Service: Any

Action: Permit

VPN Tunnel: None3


Traffic shaping: (seleccione)

Guaranteed Bandwidth: 1

Maximum Bandwidth: 150


Name: Sales Traffic Shaping Policy

Source Address:

Address Book Entry: (seleccione), Sales



Service: Any

3. También puede habilitar la asignación de tráfico en directivas que hagan referencia a túneles VPN.


363


0

haga clic en OK :


haga clic en OK :

g


Action: Permit


Traffic Shaping: (seleccione)




Name: Support Traffic Shaping Policy

Source Address:

Address Book Entry: (seleccione), Support



Service: Any

Action: Permit






Name: Allow Incoming Access to Marketing

Source Address:





364


0

haga clic en OK :



Service: Any

Action: Permit






Name: Allow Incoming Access to Sales

Source Address:




Service: Any

Action: Permit






365

haga clic en OK :




Name: Allow Incoming Access to Support

Source Address:




Service: Any

Action: Permit






366

untrust marketing any

t to untrust sales any

ust to untrust support

m untrust to trust any w 10000trust to trust any 00untrust to trust any 000

ble.


CLI

Para habilitar la asignación de tráfico por cada directiva, haga lo siguiente:

1. Ancho de banda en interfaces

set interface ethernet1 bandwidth 450004

set interface ethernet3 bandwidth 45000

2. Ancho de banda en directivasset policy name “Marketing Traffic Shaping” from trust to

any permit traffic gbw 10000 priority 0 mbw 15000set policy name “Sales Traffic Shaping Policy” from trus

any permit traffic gbw 10000 priority 0 mbw 10000set policy name “Support Traffic Shaping Policy” from tr

any any permit traffic gbw 5000 priority 0 mbw 10000set policy name “Allow Incoming Access to Marketing” fro

marketing any permit traffic gbw 10000 priority 0 mbset policy name “Allow Incoming Access to Sales” from un

sales any permit traffic gbw 5000 priority 0 mbw 100set policy name “Allow Incoming Access to Support” from

support any permit traffic gbw 5000 priority 0 mbw 5save

4. Si no especifica los ajustes de ancho de banda de una interfaz, NetScreen utilizará el ancho de banda físico disponi

Capítulo 7 Asignación de tráfico Establecimiento de las prioridades del servicio

367

mediante colas de prioridades a garantizado no utilizado). La usuarios y aplicaciones tener mpo que el tráfico importante ario. La gestión mediante colas ho colas son:

tizado a otras directivas se ectivas que tengan el mismo “round robin” o “ronda ctivas de alta prioridad, para sta haber procesado todas las

ble, se descarta el tráfico de

por la interfaz. El proceso de ivas. Podría llegar a perder asa el ancho de banda


ESTABLECIMIENTO DE LAS PRIORIDADES DEL SERVICIOLa función de asignación de tráfico de los dispositivos NetScreen permite gestionar el ancho de banda no asignado al ancho de banda garantizado (o al ancho de bandgestión mediante colas de prioridades es una característica que permite a todos losacceso al ancho de banda disponible cuando lo necesiten, asegurando al mismo tiepueda transmitirse, incluso a expensas del tráfico menos importante, si fuese necespermite a NetScreen canalizar el tráfico por hasta ocho colas de prioridad. Estas oc

• High priority (alta prioridad)

• 2nd priority (2ª prioridad)

• 3rd priority (3ª prioridad)

• 4th priority (4ª prioridad)




• Low priority (baja prioridad, predeterminada)

El ajuste de prioridad de una directiva significa que el ancho de banda aún no garanintroduce en las colas dando preferencia a la alta prioridad y luego a la baja. Las dirajuste de prioridad competirán por el ancho de banda según el método denominadorecíproca”. El dispositivo NetScreen procesa primero todo el tráfico de todas las direluego procesar el tráfico del ajuste de prioridad inmediatamente inferior, etcétera, hapeticiones de tráfico. Si las peticiones de tráfico superan el ancho de banda disponimenor prioridad.

Precaución: Tenga cuidado de no asignar un ancho de banda superior al admitidoconfiguración de directivas no impide crear configuraciones incompatibles de directdatos si el ancho de banda garantizado de directivas con la misma prioridad sobrepestablecido en la interfaz.


368

ioridades para administrar lquier tráfico de 2ª és de haber procesado el

entos: Support, Sales y

os de NetScreen, el isitos de directivas ntrust.

net

st

DMZ


Si no asigna ningún ancho de banda garantizado, puede utilizar la gestión de colas de prtodo el tráfico de su red. Es decir, todo el tráfico de alta prioridad se envía antes que cuaprioridad, etcétera. El dispositivo NetScreen procesa el tráfico de baja prioridad sólo despuresto del tráfico.

Ejemplo: Gestionar colas de prioridadesEn este ejemplo configurará el ancho de banda garantizado y máximo para tres departamMarketing, como sigue:

Si los tres departamentos envían y reciben tráfico simultáneamente a través del cortafuegdispositivo NetScreen debe asignar 20 Mbps de ancho de banda para satisfacer los requgarantizados. La interfaz ethernet1 está asociada a la zona Trust y ethernet3 a la zona U

Tráfico saliente garantizado

Tráfico entrante garantizado

Tráfico combinado garantizado

Prioridad

Support 5*

* Megabits por segundo (Mbps)

5 10 High

Sales 2.5 3.5 6 2

Marketing 2.5 1.5 4 3

Total 10 10 20

Marketing: 2,5 Mbps de salida, 1,5 Mbps de entrada, 3ª prioridad

Sales: 2,5 Mbps de salida, 3,5 Mbps de entrada, 2ª prioridad

Support: 5 Mbps de salida, 5 Mbps de entrada, Prioridad alta

Inter

DMZ para servidores

Enrutador Enrutador

T3 (45 Mbps)

Zona TrustZona Untru

Zona


369

ic en OK :

ic en OK :

haga clic en OK :


(seleccione)

uía de prioridades. DS Codepoint ts de codepoint en el campo “DS” del áfico” en la pàgina 327.


WebUI

1. Ancho de banda en interfacesInterfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga cl


Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga cl


2. Ancho de banda en directivasPolicies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y

Name: Sup-out

Source Address:




Service: Any

Action: Permit





Traffic Priority: High priority

DiffServ Codepoint Marking5:

5. “Differentiated Services” (“DS”) es un sistema para etiquetar (o “marcar”) tráfico en una posición dentro de una jerarqMarking establece una correspondencia entre el nivel de prioridad de NetScreen en la directiva y los tres primeros biencabezado de paquetes IP. Para obtener más información sobre DS Codepoint Marking, consulte “Asignación de tr


370

haga clic en OK :


nable

haga clic en OK :

g



Name: Sal-out

Source Address:




Service: Any

Action: Permit





Traffic Priority: 2nd priority

DiffServ Codepoint Marking: E


Name: Mar-out

Source Address:




Service: Any

Action: Permit


371


seleccione)

haga clic en OK :


seleccione)






Traffic Priority: 3rd priority

DiffServ Codepoint Marking: (


Name: Sup-in

Source Address:




Service: Any

Action: Permit


Traffic Shaping: (seleccione)



Traffic Priority: High priority



372

haga clic en OK :


seleccione)

haga clic en OK :

g



Name: Sal-in

Source Address:




Service: Any

Action: Permit





Traffic Priority: 2nd priority



Name: Mar-in

Source Address:




Service: Any

Action: Permit


373


seleccione)

y any permit traffic

any permit traffic gbw

any any permit traffic

any permit traffic gbw

ny permit traffic gbw

ng any permit traffic






Traffic Priority: 3rd priority


CLI

1. Ancho de banda en interfacesset interface ethernet1 bandwidth 40000set interface ethernet3 bandwidth 40000

2. Ancho de banda en directivasset policy name sup-out from trust to untrust support an

gbw 5000 priority 0 mbw 40000 dscp enableset policy name sal-out from trust to untrust sales any

2500 priority 2 mbw 40000 dscp enableset policy name mar-out from trust to untrust marketing

gbw 2500 priority 3 mbw 40000 dscp enableset policy name sup-in from untrust to trust any support

5000 priority 0 mbw 40000 dscp enableset policy name sal-in from untrust to trust any sales a

3500 priority 2 mbw 40000 dscp enableset policy name mar-in from untrust to trust any marketi

gbw 1500 priority 3 mbw 40000 dscp enablesave


374

8

375

Capítulo 8

ros del sistema que afectan a

77

417

àgina 424

en la pàgina 434


Parámetros del sistema

Este capítulo se centra en los conceptos relativos a la configuración de los parámetlas siguientes áreas de un dispositivo de seguridad NetScreen:

• “Compatibilidad con DNS (sistema de nombres de dominio)” en la pàgina 3

– “Consulta DNS” en la pàgina 378

– “Tabla de estado de DNS” en la pàgina 379

– “DNS dinámico” en la pàgina 382

– “División de direcciones del DNS proxy” en la pàgina 385

• “DHCP: Protocolo de configuración dinámica de hosts” en la pàgina 388

– “Servidor DHCP” en la pàgina 390

– “Agente de retransmisión de DHCP” en la pàgina 400

– “Cliente DHCP” en la pàgina 406

– “Propagación de los ajustes TCP/IP” en la pàgina 408

• “PPPoE” en la pàgina 411

– “Múltiples sesiones PPPoE a través de una sola interfaz” en la pàgina

– “PPPoE y alta disponibilidad” en la pàgina 422

• “Actualización o degradación de firmware” en la pàgina 423

– “Requisitos para actualizar o degradar firmware del dispositivo” en la p

– “Descarga de nuevo firmware” en la pàgina 426

– “Actualización de dispositivos NetScreen en una configuración NSRP”

– “Autenticar firmware y archivos DI” en la pàgina 445

Capítulo 8 Parámetros del sistema

376

o” en la pàgina 462

” en la pàgina 463


• “Descarga y carga de configuraciones” en la pàgina 450

– “Almacenamiento e importación de ajustes” en la pàgina 450

– “Retroactivación (“rollback”) de una configuración” en la pàgina 452

– “Bloqueo del archivo de configuración” en la pàgina 455

• “Establecer Bulk-CLI de NetScreen-Security Manager” en la pàgina 458

• “Claves de licencia” en la pàgina 459

• “Registro y activación de los servicios de suscripción” en la pàgina 461

– “Servicio temporal” en la pàgina 461

– “Paquete de AV, filtrado de URLs y DI incluido con un dispositivo nuev

– “Actualización de AV, filtrado de URLs y DI en un dispositivo existente

– “Sólo actualización de DI” en la pàgina 464

• “Reloj del sistema” en la pàgina 465

– “Fecha y hora” en la pàgina 465

– “Huso horario” en la pàgina 465

– “NTP” en la pàgina 466

Capítulo 8 Parámetros del sistema Compatibilidad con DNS (sistema de nombres de dominio)

377

main Name System” o “DNS”), las ubicaciones de una red. Un s nombres de dominio. DNS

niper.net), además de utilizar la 7.137.68. Todos los programas

, deben introducirse las en.

uración dinámica de hosts configuración dinámica de ores DNS en la página “DHCP”


COMPATIBILIDAD CON DNS (SISTEMA DE NOMBRES DE DOMINIO)El dispositivo NetScreen es compatible con el sistema de nombres de dominio (“Doque permite utilizar tanto nombres de dominios como direcciones IP para identificar servidor DNS mantiene una tabla de direcciones IP asociadas a los correspondientepermite referirse a una ubicación por medio de su nombre de dominio (como www.jucorrespondiente dirección IP enrutable, que en el caso de www.juniper.net es 207.1siguientes pueden realizar traducción de DNS:

• Address Book (libreta de direcciones)

• Syslog

• E-mail (correo electrónico)

• WebTrends

• Websense

• LDAP

• SecurID

• RADIUS

• NetScreen-Security Manager

Antes de poder utilizar DNS para la resolución de nombres de dominio y direccionesdirecciones de los servidores DNS (principal y secundario) en el dispositivo NetScre

Nota: Para habilitar el dispositivo NetScreen como servidor del protocolo de config(“Dynamic Host Configuration Protocol” o “DHCP”) (consulte “DHCP: Protocolo de hosts” en la pàgina 388), también deberá introducir las direcciones IP de los servidde WebUI o mediante el comando CLI set interface interfaz dhcp.


378

olas en un servidor DNS

l día

utomática de la tabla DNS,

nación de nombre de dominio o contiene algunos de los

s acepta todas. Los otros

ambio en la tabla de nombres botón Refresh de WebUI o

a tabla entera.

ché.

de direcciones, el dispositivo ada con éxito, pero la consulta

Name” o “FQDN”), como una resuelve al hacer clic en Apply ispositivo NetScreen intenta


Consulta DNSEl dispositivo NetScreen actualiza todas las entradas de su tabla DNS comprobándespecificado en los momentos siguientes:

• Al producirse una conmutación por fallo de HA (alta disponibilidad)

• A una hora determinada y a intervalos regulares programados a lo largo de

• Cuando se ordena manualmente al dispositivo realizar una consulta DNS

– WebUI: Network > DNS: Haga clic en “Refresh DNS cache”.

– CLI: exec dns refresh

Además del método existente de establecer una hora para la actualización diaria y atambién puede definir un intervalo de tiempo entre 4 y 24 horas.

Cuando el dispositivo NetScreen se conecta al servidor DNS para resolver una asigdirección IP, almacena esa entrada en su tabla de estado de DNS. La lista siguientedetalles implicados en una consulta DNS:

• Cuando una consulta DNS devuelve varias entradas, la libreta de direccioneprogramas enumerados en la pàgina 377 solamente aceptan la primera.

• El dispositivo NetScreen reinstala todas las directivas si detecta cualquier cde dominios en el momento en que el usuario actualiza una consulta con elejecuta el comando CLI exec dns refresh.

• Cuando falla un servidor DNS, el dispositivo NetScreen vuelve a consultar l

• Cuando falla una consulta, el dispositivo NetScreen la elimina de la tabla ca

• Si la consulta del nombre de dominio falla al agregar direcciones a la libretaNetScreen muestra un mensaje de error indicando que la dirección fue agregdel nombre DNS falló.

Nota: Cuando se agrega un nombre de dominio completo (“Fully-Qualified Domaindirección o una puerta de enlace IKE, mediante WebUI, el dispositivo NetScreen lo o en OK. Cuando se escribe un comando CLI que hace referencia a un FQDN, el dresolverlo en el momento de introducirlo.


379

programar en el dispositivo

a de verificación e introduzca la

us correspondientes z cada nombre de dominio o

Lookup000 16:45:33

000 16:45:38


El dispositivo NetScreen debe realizar una nueva consulta cada día, que se puede NetScreen para que la realice a una hora determinada:

WebUI

Network > DNS: Introduzca los siguientes datos y haga clic en Apply :

DNS refresh every day at: Seleccione la casillhora <hh:mm>

CLI

set dns host schedule time_strsave

Tabla de estado de DNSLa tabla de estado de DNS comunica todos los nombres de dominios consultados, sdirecciones IP, si la consulta se efectuó con éxito y cuándo se resolvió por última vedirección IP. El formato del informe se parece al ejemplo siguiente:

Name IP Address Status Last www.yahoo.com www.hotbot.com

204.71.200.74 204.71.200.75 204.71.200.67 204.71.200.68 209.185.151.28 209.185.151.210 216.32.228.18

Success Success

8/13/2 8/13/2


380

imientos:

las direcciones IP de los méstica. El dispositivo e estado de DNS

ecundario.38cipal

nternet


Para visualizar la tabla de estado de DNS, ejecute cualquiera de los siguientes proced

WebUI

Network > DNS > Show DNS Table

CLI

get dns host report

Ejemplo: Servidor DNS y programación de actualizacionesPara implementar la funcionalidad de DNS, se introducen en el dispositivo NetScreen servidores DNS en 24.1.64.38 y 24.0.0.3, protegiendo un host único de una oficina doNetScreen se programa para actualizar los ajustes de DNS almacenados en su tabla ddiariamente a las 23:00 horas.

WebUI


Primary DNS Server: 24.0.0.3

Secondary DNS Server: 24.1.64.38

DNS Refresh: (seleccione)

Every Day at: 23:00

Servidor DNS s24.1.64

Servidor DNS prin24.0.0.3

I

Zona Trust Zona Untrust


381

ada 4 horas, comenzando a las


CLI

set dns host dns1 24.0.0.3set dns host dns2 24.1.64.38set dns host schedule 23:00save

Ejemplo: Establecer un intervalo de actualización de DNSEn este ejemplo configurará el dispositivo NetScreen para actualizar su tabla DNS c00:01 de cada día.

WebUI


DNS Refresh: (seleccione)

Every Day at: 00:01

Interval: 4

CLI

set dns host schedule 00:01 interval 4save


382

icamente las direcciones IP do un ISP utiliza PPP, DHCP o dispositivo NetScreen) que l servidor web usando un mente. Este cambio es posible s cambiadas dinámicamente y información, periódicamente o

r DDNS. El servidor utiliza esta

cambiado. Cuando se produce el nombre de host ada uno de estos servidores

ervidor webw.my_host.com

Zona Trust


DNS dinámicoDNS dinámico (DDNS) es un mecanismo que permite a los clientes actualizar dinámcorrespondientes a nombres de dominio registrados. Esta actualización es útil cuanXAuth para modificar dinámicamente la dirección IP de un enrutador CPE (como unproteja un servidor web. Así, los clientes procedentes de Internet pueden acceder enombre de dominio, aunque la dirección IP del enrutador CPE haya cambiado previagracias a un servidor DDNS como dyndns.org o ddo.jp, que contienen las direccionesus nombres de dominio asociados. El CPE actualiza los servidores DDNS con estaen respuesta a cambios de direcciones IP.

Para utilizar DDNS, cree una cuenta (nombre de usuario y contraseña) en el servidoinformación de cuenta para configurar el dispositivo cliente.

En el diagrama mostrado arriba, la dirección IP de la interfaz ethernet7 puede haberalgún cambio, el cliente todavía puede acceder al servidor web protegido indicando(www.my_host.com), a través del servidor de dyndns.org o del servidor de ddo.jp. Crequiere configuraciones algo diferentes en el dispositivo NetScreen.

Dispositivo NetScreen(enrutador CPE)

Cliente

Servidor DDNS

Sww

dyndns.org or ddo.jp

ethernet7

Internet

Nota: La zona Untrust no se muestra.


383

. El dispositivo utiliza el idor, especificará el host (ethernet7); por lo tanto, e a la dirección IP de la

en OK:

S. El valor predeterminado es de 10 ero el servidor DNS necesita esperar ización mínimo a un valor muy bajo, 0 minutos.


Ejemplo: Configuración de DDNS para el servidor dyndnsEn el ejemplo siguiente configurará un dispositivo NetScreen para operar con DDNSservidor dyndns.org para resolver direcciones que se han cambiado. Para este servprotegido utilizando el ajuste Host Name, asociado explícitamente a la interfaz DNScuando el dispositivo envía una actualización al servidor de ddo.jp, asocia Host Naminterfaz.

WebUI

Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic

ID: 12

Server Settings:

Server Type: dyndns

Server Name: dyndns.org

Refresh Interval: 24

Minimum Update Interval: 151

Account Settings:

Username: swordfish

Password: ad93lvb

Bind to Interface: ethernet7

Host Name: www.my_host.com

1. Este ajuste especifica el intervalo mínimo de tiempo (expresado en minutos) entre sucesivas actualizaciones de DDNminutos y el rango admisible es 1-1440. En algunos casos, el dispositivo puede no actualizar el intervalo porque prima que el tiempo de espera de la entrada de DDNS caduque en su caché. Además, si establece el intervalo de acutalpuede que el dispositivo NetScreen le bloquee el acceso; por lo tanto, recomendamos utilizar un valor de al menos 1


384

fresh-interval 24

y_host.com

utiliza el servidor ddo.jp do como nombre de usuario st Name. El servicio ervidor ddo.jp traduce un inio registrado en ddo.jp

OK:


CLI

set dns ddnsset dns ddns enableset dns ddns id 12 server dyndns.org server-type dyndns re

minimum-update-interval 15set dns ddns id 12 src-interface ethernet7 host-name www.mset dns ddns id 12 username swordfish password ad93lvbsave

Ejemplo: Configuración de DDNS para el servidor de ddoEn el ejemplo siguiente configurará un dispositivo NetScreen para DDNS. El dispositivopara resolver direcciones. Para el servidor ddo.jp, especificará el FQDN del host protegipara la entrada de DDNS, en lugar de especificar el host protegido usando el ajuste Hodeducirá automáticamente el nombre de host del valor de Username. Por ejemplo, el snombre de usuario de my_host a my_host.ddo.jp. Cerciórese de que el nombre de domcoincida con el DNS deducido.

WebUI

Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic en

ID: 25

Server Settings:

Server Type: ddo

Server Name: juniper.net

Refresh Interval: 24

Minimum Update Interval: 15

Account Settings:

Username: my_host

Password: ad93lvb

Bind to Interface: ethernet7


385

-interval 24

los clientes dividir consultas vidores DNS específicos, neles VPN o los enlaces unas consultas DNS a una red

. Por ejemplo, las consultas de al servidor DNS corporativo, arga en el servidor corporativo. Internet.

e una interfaz de túnel, e la red interna. Por ejemplo, interfaz de túnel y utilizar -replay” (anti-reprocesamiento).


CLI

set dns ddnsset dns ddns enableset dns ddns id 25 server ddo.jp server-type ddo refresh

minimum-update-interval 15set dns ddns id 25 src-interface ethernet7set dns ddns id 25 username my_host password ad93lvbsave

División de direcciones del DNS proxyLa característica DNS proxy proporciona un mecanismo transparente que permite aDNS. Con esta técnica, el proxy redirige selectivamente las consultas de DNS a sersiguiendo nombres de dominio parciales o completos. Esto resulta útil cuando los túvirtuales PPPoE proporcionan conectividad a múltiple redes y es necesario dirigir algy otras a otra red.

Las ventajas más importantes de un proxy de DNS son las siguientes.

• Las operaciones de búsqueda de dominios son generalmente más eficientesDNS destinadas al dominio corporativo (como acme.com) podrían dirigirse mientras que todas las demás irían al servidor DNS del ISP, reduciendo la cEsto también impediría la filtración de información del dominio corporativo a

• El proxy de DNS permite transmitir consultas DNS seleccionadas a través dimpidiendo así que usuarios malévolos puedan acceder a la configuración dlas consultas de DNS dirigidas al servidor corporativo pueden atravesar unacaracterísticas de seguridad tales como la autenticación, codificación y “anti


386

ente las consultas DNS a

e.com saldrá a través de la 1.

, el dispositivo dirige servidor resuelve la consulta

me_engineering.com sale a .

ng.com, el dispositivo dirige a consulta devolviendo la

idores corporativos y salen a

tivo evita automáticamente consulta obteniendo la

2.1.1.212.1.1.34

Servidores DNSde la empresa

e_eng.com => 3.1.1.5


Ejemplo: Dividir peticiones de DNSLos comandos siguientes crean dos entradas DNS por proxy que reenvían selectivamdiferentes servidores.

• Toda consulta de DNS con un FQDN que contenga el nombre de dominio acminterfaz de túnel tunnel.1 al servidor DNS corporativo en la dirección IP 2.1.1.2

Por ejemplo, si un host envía una consulta DNS para resolver www.acme.comautomáticamente la consulta a este servidor. (En este ejemplo, asuma que el devolviendo la dirección IP 3.1.1.2).

• Cualquier consulta DNS con un FQDN que contenga el nombre de dominio actravés de interfaz de túnel tunnel.1 al servidor DNS en la dirección IP 2.1.1.34

Por ejemplo, si un host envía una consulta DNS para resolver intranet.acme_ela consulta a este servidor. (En este ejemplo, asuma que el servidor resuelve ldirección IP 3.1.1.5).

• Todas las demás consultas DNS (marcadas con un asterisco) evitan a los servtravés de la interfaz ethernet3 al servidor DNS en la dirección IP 1.1.1.23.

Por ejemplo, si el host y el nombre de dominio son www.juniper.net, el disposilos servidores corporativos y dirige la consulta a este servidor, que resuelve ladirección IP 207.17.137.68.

tunnel.1

ethernet3

acme_eng.com

*

1.1.1.23netscreen.com => 63.126.135.170 netscreen.com

63.126.135.170

acme.com => 3.1.1.2

acm

Servidores DNS del ISP

acme.com

Internet


387

y :

n OK :

n OK :

n OK :

tunnel.1

ace tunnel.1

t3 primary-server


WebUI1. Network > DNS > Proxy: Introduzca los siguientes datos y haga clic en Appl

Initialize DNS Proxy: Enable

Enable DNS Proxy: Enable2. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic e

Domain Name: acme.com

Outgoing Interface: tunnel.1


3. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic e

Domain Name: acme_eng.com

Outgoing Interface: tunnel.1


4. Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic e

Domain Name: *

Outgoing Interface: ethernet3


CLIset dns proxyset dns proxy enableset interface ethernet3 proxy dnsset dns server-select domain acme.com outgoing-interface

primary-server 2.1.1.21set dns server-select domain acme_eng.com outgoing-interf

primary-server 2.1.1.34set dns server-select domain * outgoing-interface etherne

1.1.1.23save

Capítulo 8 Parámetros del sistema DHCP: Protocolo de configuración dinámica de hosts

388

n Protocol”) fue diseñado para TCP/IP a los hosts de una red. r (cuando sea necesario) todos Además, DHCP garantiza que do de utilizarse y asigna un host.

s de DHCP, recibiendo una uier zona.

mo servidores de DHCP, HCP) en cualquier interfaz

ién pueden actuar como HCP y retransmitiéndola a los

tScreen pueden actuar . Observe que en una sola

la misma interfaz no se pueden r el módulo de cliente DHCP

P, que los utilizará para ntes DHCP.

s a hosts tales como las jas para otros equipos, como


DHCP: PROTOCOLO DE CONFIGURACIÓN DINÁMICA DE HOSTSEl protocolo de configuración dinámica de hosts (DHCP: “Dynamic Host Configuratioaliviar el trabajo de los administradores de red asignando automáticamente ajustes En lugar de obligar a los administradores a asignar, configurar, supervisar y modificalos ajustes TCP/IP de cada equipo de una red, DHCP hace todo automáticamente. no se utilicen direcciones duplicadas, vuelve a asignar las direcciones que han dejaautomáticamente direcciones IP apropiadas para la subred a la que está conectado

Diferentes dispositivos NetScreen asumen diferentes papeles DHCP:

• Cliente DHCP: Algunos dispositivos NetScreen pueden actuar como clientedirección IP asignada dinámicamente para cualquier interfaz física en cualq

• Servidor DHCP: Algunos dispositivos NetScreen también pueden actuar coasignando direcciones IP dinámicas a hosts (que actúan como clientes de Dfísica o VLAN de cualquier zona.

• Agente de retransmisión de DHCP: Algunos dispositivos NetScreen tambagentes de retransmisión de DHCP, recibiendo información de un servidor Dhosts de cualquier interfaz física o VLAN en cualquiera zona.

• Cliente/servidor/agente de retransmisión DHCP: Algunos dispositivos Nesimultáneamente como cliente, servidor y agente de retransmisión de DHCPinterfaz solamente se puede configurar un papel de DHCP. Por ejemplo, en configurar el cliente y el servidor DHCP. Opcionalmente, se puede configurapara que reenvíe los ajustes TCP/IP que recibe al módulo de servidor DHCproporcionar ajustes TCP a los hosts de la zona Trust que actúen como clie

Nota: Aunque utilice el módulo del servidor DHCP para asignar direccioneestaciones de trabajo de una zona, también puede utilizar direcciones IP fiservidores de correo y servidores WINS.


389

uración TCP/IP específicos de reen actúa como servidor

:

eja estos ajustes como IP y la máscara de red de la

net de Windows (“Windows ado en un entorno de red

o para la distribución de datos

e datos de Apple NetInfo.

io (“DNS”) asignan un a una dirección IP.

ia de correo (“Simple Mail de correo, por ejemplo un

ersión 3 (“Post Office Protocol” abajar conjuntamente con un

isos de los grupos de noticias.

era interfaz asociada a esa zona a la

etros antedichos dispone de ión dinámica recibida del


DHCP consta de dos componentes: un protocolo para suministrar ajustes de configcada host y un mecanismo para asignar direcciones IP. Cuando el dispositivo NetScDHCP, proporciona los siguientes ajustes TCP/IP a cada host cuando éste se inicia

• Dirección IP y máscara de red predeterminadas de la puerta de enlace. Si d0.0.0.0/0, el módulo del servidor DHCP utiliza automáticamente la direccióninterfaz predeterminada de la zona Trust2.

• Las direcciones IP de los servidores siguientes:

– Servidores WINS (2):3 Los servidores del servicio de nombres de InterInternet Naming Service” o “WINS”) asignan un nombre NetBIOS utilizWindows NT a una dirección IP utilizada en una red basada en IP.

– Servidores NetInfo (2): NetInfo es un servicio de red de Apple utilizadadministrativos dentro de una LAN.

– Etiqueta de NetInfo (1): La etiqueta identificativa utilizada por la base d

– Servidores DNS (3): Los servidores del sistema de nombres de dominlocalizador de recurso uniforme (“Uniform Resource Locator” o “URL”)

– Servidor SMTP (1): Los servidores del protocolo simple de transferencTransfer Protocol” o “SMTP”) entregan mensajes SMTP a un servidor servidor POP3, que almacena el correo entrante.

– Servidor POP3 (1): Los servidores del protocolo de oficina de correo, vo “POP3”) almacenan el correo entrante. Cada servidor POP3 debe trservidor SMTP.

– Servidor News (1): Los servidores de noticias reciben y almacenan av

2. En los dispositivos que pueden tener varias interfaces asociadas a la zona Trust, la interfaz predeterminada es la primque se haya asignado una dirección IP.

3. El número en paréntesis indica el número de servidores admitidos.

Nota: Si un cliente DHCP al que el dispositivo NetScreen entrega los parámuna dirección IP especificada, ésta tiene preferencia sobre toda la informacservidor DHCP.


390

nterfaz física o VLAN de a direcciones IP y máscaras de

CP, asigna (o “arrienda”) a un es. La dirección IP se arrienda ir un periodo de arrendamiento

ada de un conjunto de tablece una conexión.

ntos de direcciones IP.

iones de trabajo con La interfaz ethernet1 está do NAT. El nombre del dominio

reen puede tomar direcciones DHCP

e DHCP en su memoria flash. es de direcciones.


Servidor DHCPUn dispositivo NetScreen puede admitir hasta ocho servidores DHCP en cualquier icualquier zona. Cuando actúa como servidor DHCP, el dispositivo NetScreen asignsubred de dos modos:

• En el modo dinámico, el dispositivo NetScreen, actuando como servidor DHcliente DHCP del host una dirección IP tomada de un conjunto4 de direccionpor un tiempo determinado o hasta que el cliente renuncia a ella. (Para definilimitado, introduzca 0).

• En el modo reservado, el dispositivo NetScreen asigna una dirección IP tomdirecciones exclusivamente para un cliente específico cada vez que éste es

Ejemplo: Dispositivo NetScreen como servidor DHCPUtilizando DHCP, se seccionará la red 172.16.10.0/24 de la zona Trust en tres conju

• 172.16.10.10 a 172.16.10.19

• 172.16.10.120 a 172.16.10.129

• 172.16.10.210 a 172.16.10.219

El servidor DHCP asigna todas las direcciones IP dinámicamente, salvo a dos estacdirecciones IP reservadas y a cuatro servidores que tienen direcciones IP estáticas.asociada a la zona Trust, tiene la dirección IP 172.16.10.1/24 y se encuentra en moes dynamic.com.

4. Un conjunto de direcciones es un rango de direcciones IP definido en la misma subred de la que el dispositivo NetScpara asignar. Puede agrupar hasta 255 direcciones IP.

Nota: El dispositivo NetScreen guarda cada dirección IP asignada mediantPor lo tanto, el reinicio del dispositivo NetScreen no afecta a las asignacion


391

lic en OK:

2

res SMTP y POP3cciones IP fijas0.25 y 172.16.10.10

ervidores DNSrecciones IP fijas172.16.10.240172.16.10.241


WebUI


Address Name: DNS#1

Comment: Primary DNS Server



Zone: Trust

Zona Trust

Conjunto de direcciones172-16.10.10 – 172.16.10.19

Conjunto de direcciones172-16.10.210 – 172.16.10.219

Conjunto de direcciones

172-16.10.120 – 172.16.10.129

172.16.10.0/24LAN

IP reservada172.16.10.11

MAC: 12:34:ab:cd:56:78

IP reservada172.16.10.112

MAC: ab:cd:12:34:ef:gh

ServidoDire

172.16.1

SDi

ethernet1172.16.10.1/24 (NAT)


392

lic en OK :

2

lic en OK :

lic en OK :

2



Address Name: DNS#2

Comment: Secondary DNS server



Zone: Trust


Address Name: SMTP

Comment: SMTP Server



Zone: Trust


Address Name: POP3

Comment: POP3 server



Zone: Trust


393


clic en Return para a la página de configuración


red establecida para ethernet1 a e reenvíe ajustes de TCP/IP al ente 172.16.10.1 y 255.255.255.0


2. Servidor DHCPNetwork > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los siguie Apply:5

Lease: Unlimited (seleccione)

WINS#1: 0.0.0.0

DNS#1: 172.16.10.240

> Advanced Options: Escriba lo siguiente y hagaestablecer las opciones avanzadas y regresarbásica:

WINS#2: 0.0.0.0

DNS#2: 172.16.10.241

DNS#3: 0.0.0.0

SMTP: 172.16.10.25

POP3: 172.16.10.110

NEWS: 0.0.0.0

NetInfo Server # 1: 0.0.0.0

NetInfo Server # 2: 0.0.0.0

NetInfo Tag: (deje el campo vacío)

Domain Name: dynamic.com

> Addresses > New: Introduzca los siguientes d

Dynamic: (seleccione)

IP Address Start: 172.16.10.10

IP Address End: 172.16.10.19

5. Si deja los campos “Gateway” y “Netmask” como 0.0.0.0, el módulo de servidor DHCP envía la dirección IP y máscara desus clientes (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si habilita el módulo de cliente DHCP para qumódulo del servidor DHCP (consulte “Propagación de los ajustes TCP/IP” en la pàgina 408), deberá introducir manualmen los campos “Gateway” y “Netmask”.


394




78


gh


> Addresses > New: Introduzca los siguientes









Reserved: (seleccione)

Dirección IP: 172.16.10.11

Ethernet Address: 1234 abcd 56


Reserved: (seleccione)

Dirección IP: 172.16.10.112

Ethernet Address: abcd 1234 ef


395

ver”erver”

namic.com6

0.2400.2410.250.11072.16.10.19172.16.10.129172.16.10.2191234abcd5678 abcd1234efgh

sus clientes la dirección IP y máscara HCP para reenviar ajustes TCP/IP al lmente estas opciones: set interface 55.255.0 .


CLI

1. Direccionesset address trust dns1 172.16.10.240/32 “primary dns serset address trust dns2 172.16.10.241/32 “secondary dns sset address trust snmp 172.16.10.25/32 “snmp server”set address trust pop3 172.16.10.110/32 “pop3 server”

2. Servidor DHCP

set interface ethernet1 dhcp server option domainname dyset interface ethernet1 dhcp server option lease 0set interface ethernet1 dhcp server option dns1 172.16.1set interface ethernet1 dhcp server option dns2 172.16.1set interface ethernet1 dhcp server option smtp 172.16.1set interface ethernet1 dhcp server option pop3 172.16.1set interface ethernet1 dhcp server ip 172.16.10.10 to 1set interface ethernet1 dhcp server ip 172.16.10.120 to set interface ethernet1 dhcp server ip 172.16.10.210 to set interface ethernet1 dhcp server ip 172.16.10.11 mac set interface ethernet1 dhcp server ip 172.16.10.112 macset interface ethernet1 dhcp server servicesave

6. Si no establece una dirección IP para la puerta de enlace o una máscara de red, el módulo del servidor DHCP envía ade red para ethernet1 (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si habilita el módulo de cliente Dmódulo del servidor DHCP (consulte “Propagación de los ajustes TCP/IP” en la pàgina 408), deberá establecer manuaethernet1 dhcp server option gateway 172.16.10.1 y set interface ethernet1 dhcp server option netmask 255.2


396

s opciones que identifiquen a especificar la dirección IP de (“lease time”) de la dirección

DHCP Options and BOOTP

uede definir opciones de voz sobre IP), es necesario predefinidas del servidor. En

de opción1

3

6

15

44

51

69

70

71

12

13


Opciones del servidor DHCPAl especificar servidores DHCP para una interfaz, puede necesitar especificar ciertalos servidores o proporcionen la información utilizada por éstos. Por ejemplo, puedelos servidores DNS primario y secundario, o bien establecer el tiempo de asignaciónIP.

Los siguientes son servicios DHCP predefinidos, según se describe en RFC 2132, “Vendor Extensions”.

En situaciones en la que las opciones predefinidas del servidor no son suficientes, pservidor DHCP personalizadas. Por ejemplo, para ciertas configuraciones de VoIP (enviar información adicional de configuración que no es reconocida por las opcionestales casos, debe definir opciones personalizadas apropiadas.

Terminología Terminología de CLI de NetScreen CódigoSubnet Mask netmask

Router Option gateway

Domain Name Server dns1, dns2, dns3

Domain Name domainname

NetBIOS over TCP/IP Name Server Option

wins1, wins2

IP Address Lease Time lease

SMTP Server Option smtp

POP3 Server Option pop3

NNTP Server Option news

(N/D) nis1, nis2 1

(N/D) nistag 1


397

actúan como clientes DHCP.

ver”erver”

namic.com

0.2400.241ring “Server 4”1.1.1.1teger 200472.16.10.19

CP, todos los miembros del . En caso de una conmutación

embargo, la finalización de la s entre miembros del clúster. de DHCP mediante el siguiente


Ejemplo: Opciones de servidor DHCP personalizadasEn el ejemplo siguiente creará definiciones de servidor DHCP para teléfonos IP queLos teléfonos utilizan las opciones personalizadas siguientes:

• Código de opción 444, conteniendo la cadena “Server 4”

• Código de opción 66, conteniendo la dirección IP 1.1.1.1

• Código de opción 160, conteniendo el número entero 2004

CLI

1. Direccionesset address trust dns1 172.16.10.240/32 “primary dns serset address trust dns2 172.16.10.241/32 “secondary dns s

2. Servidor DHCPset interface ethernet1 dhcp server option domainname dyset interface ethernet1 dhcp server option lease 0set interface ethernet1 dhcp server option dns1 172.16.1set interface ethernet1 dhcp server option dns2 172.16.1set interface ethernet1 dhcp server option custom 444 stset interface ethernet1 dhcp server option custom 66 ip set interface ethernet1 dhcp server option custom 160 inset interface ethernet1 dhcp server ip 172.16.10.10 to 1

Servidor DHCP en un clúster de NSRPCuando la unidad maestra de un clúster NSRP redundante actúa como servidor DHclúster mantienen todas las configuraciones DHCP y asignaciones de direcciones IPpor error, la nueva unidad maestra mantiene todas las asignaciones de DHCP. Sin comunicación HA interrumpe la sincronización de las asignaciones DHCP existenteUna vez restablecida la comunicación de HA, puede resincronizar las asignaciones comando CLI en ambas unidades del clúster: set nsrp rto-mirror sync .


398

omprobar primero si la interfaz eso del servidor DHCP local si CP, el dispositivo envía e ninguna respuesta a sus

genera un mensaje indicando iado porque hay otro servidor r DHCP existente.

o de los tres modos de sitivo NetScreen comprueba si itivo para que no intente

del servidor DHCP de positivo no comprueba si hay e apagado.

T. En otros dispositivos NetScreen


Detección del servidor DHCPCuando se inicia un servidor DHCP de un dispositivo NetScreen, el sistema puede cya tiene un servidor DHCP. ScreenOS impide automáticamente que se inicie el procdetecta la presencia de otro servidor DHCP en la red. Para detectar otro servidor DHpeticiones de arranque DHCP en intervalos de 2 segundos. Si el dispositivo no recibpeticiones de arranque, inicia su proceso local de servidor DHCP.

Si el dispositivo NetScreen recibe una respuesta de otro servidor DHCP, el sistemaque el servicio DHCP está habilitado en el dispositivo NetScreen, pero no se ha inicDHCP presente en la red. El mensaje del registro incluye la dirección IP del servido

Para detectar la presencia de un servidor DHCP en una interfaz, puede utilizarse unfuncionamiento siguientes: “Auto”, “Enable” o “Disable”7. En el modo “Auto”, el dispohay algún servidor DHCP presente siempre que arranca. Puede configurar el disposdetectar otro servidor DHCP en una interfaz activando el modo “Enable” o “Disable”NetScreen. En el modo “Enable”, el servidor DHCP está siempre encendido y el disalgún servidor DHCP en la red. En el modo “Disable”, el servidor DHCP está siempr

7. “Auto” es el modo predeterminado de detección de servidores DHCP en dispositivos NetScreen-5XP y NetScreen-5Xque admitan el servidor DHCP, el modo “Enable” es el modo predeterminado de detección de servidores DHCP.


399

de iniciarse, compruebe si


sin comprobar si hay algún


terface dhcp server uto”, el servidor DHCP del ed. Con el comando unset vo NetScreen y también se


Ejemplo: Activar la detección de servidores DHCPEn este ejemplo configurará el servidor DHCP de la interfaz ethernet1 para que, antes hay algún servidor DHCP en la interfaz.

WebUI

Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los siguie OK :

Server Mode: Auto (seleccione)

CLI

set interface ethernet1 dhcp server autosave

Ejemplo: Desactivar la detección de servidores DHCPEn este ejemplo configurará el servidor DHCP de la interfaz ethernet1 para que se inicieservidor DHCP existente en la red.

WebUI

Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los siguie OK :

Server Mode: Enable (seleccione)

CLI

set interface ethernet1 dhcp server enablesave

Nota: El servidor DHCP se puede activar ejecutando el comando CLI set interface inservice . Si el modo de detección del servidor DHCP establecido para la interfaz es “Adispositivo NetScreen solamente se inicia si no encuentra un servidor existente en la rinterface interface dhcp server service se inhabilita el servidor DHCP en el dispositielimina cualquier configuración DHCP.


400

nvía peticiones y asignaciones DHCP entre el dispositivo l VPN.

cas o VLAN de un dispositivo ciones de servidor o cliente de retransmisión de DHCP, t”). Para las interfaces en el

finido DHCP-Relay. Para las t, mientras que el servidor

transparente no se requiere

n de DHCP. El agente de os los servidores DHCP ibida de un servidor.

ivo NetScreen como agente de HCP atraviesan un túnel VPN a

CP, no genera informes todas las asignaciones de


Agente de retransmisión de DHCPCuando actúa como agente de retransmisión de DHCP, el dispositivo NetScreen reeDHCP entre los hosts de una zona y el servidor DHCP de otra zona. Los mensajes NetScreen y el servidor DHCP se pueden transmitir en abierto o a través de un túne

Puede configurar un agente de retransmisión de DHCP en una o más interfaces físiNetScreen, aunque no puede configurar un agente de retransmisión de DHCP y funDHCP en la misma interfaz. Cuando el dispositivo NetScreen funciona como agentesus interfaces deben estar en el modo de ruta (“Route”) o transparente (“Transparenmodo de ruta es necesario configurar una directiva interzonal para el servicio predeinterfaces en el modo transparente, el cliente DHCP debe residir en la zona V1-TrusDHCP puede residir en la zona V1-Untrust o V1-DMZ. Para las interfaces en modo ninguna directiva.

Se pueden configurar hasta tres servidores DHCP para cada agente de retransmisióretransmisión envía una petición de dirección procedente de un cliente DHCP a todconfigurados. El agente de retransmisión reenvía al cliente la primera respuesta rec

La siguiente ilustración simplificada presenta el proceso de utilización de un dispositretransmisión de DHCP. Observe que, para garantizar la seguridad, los mensajes Dsu paso por la red no fiable.

Nota: Cuando un dispositivo NetScreen actúa como agente de retransmisión de DHsobre el estado de asignación de DHCP porque el servidor DHCP remoto controla direcciones IP.


401

n de DHCPor DHCP en 194.2.9.10 y la

junto de direcciones IP definido ensajes DHCP pasan a través

ás de un dispositivo NetScreen ethernet1 está asociada a la ethernet3 está asociada a la uentran en el dominio de

dorP


Ejemplo: Dispositivo NetScreen como agente de retransmisióEn este ejemplo, un dispositivo NetScreen recibe su información DHCP de un servidretransmite a los hosts en la zona Trust. Los hosts reciben direcciones IP de un conen el servidor DHCP. El rango de direcciones es 180.10.10.2—180.10.10.254. Los mde un túnel VPN entre el dispositivo NetScreen local y el servidor DHCP, situado detrremoto cuya dirección IP en la interfaz de la zona Untrust es 2.2.2.2/24. La interfaz zona Trust, tiene la dirección IP 180.10.10.1/24 y está en modo de ruta. La interfaz zona Untrust y tiene la dirección IP 1.1.1.1/24. Todas las zonas de seguridad se encenrutamiento trust-vr.

Host Agente deretransmisión

ServiDHC

Petición Petición

Asignación Asignación

Liberación Liberación

ZonaTrust

1

2

3

Túnel VPN en la zona Untrust


402

ic en Apply :

e)

OK:

ic en OK :

e)

DHCPServidor

194.2.9.10

Conjunto de direcciones IP180.10.10.2 – 180.10.10.254

Dispositivo NetScreen remoto


WebUI

1. InterfacesInterfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga cl

Zone: Trust





Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga cl

Zone: Untrust



Internet

Túnel VPN

Enrutador1.1.1.250

ethernet1180.10.10.1/24

ethernet31.1.1.1/24


Dispositivo NetScreen local

Agente de retransmisión de DHCP


403

lic en OK :


2.2.2.2


leccione)g2-3des-shation)

OK :




Address Name: DHCP Server



Zone: Untrust

3. VPNVPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes da

Gateway Name: dhcp server

Security Level: Custom

Remote Gateway Type:

Static IP: (seleccione), Address/Hostname:

Outgoing Interface: ethernet3


Security Level: User Defined: Custom (se

Phase1 Proposal: rsa-Mode (Initiator): Main (ID Protec

VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en

VPN Name: to_dhcp

Security Level: Compatible

Remote Gateway:

Predefined: (seleccione), to_dhcp


Bind to: None


404

os siguientes datos y haga clic

.2.9.10

N: (seleccione)


haga clic en OK :

erver

ione)

tráfico VPN saliente como para el de lo largo de su ruta al dispositivo enrutador.


4. Agente de retransmisión de DHCPNetwork > DHCP > Edit (para ethernet1) > DHCP Relay Agent: Introduzca len Apply :

Relay Agent Server IP or Domain Name: 194

Use Trust Zone Interface as Source IP for VP







Source Address:



Address Book Entry: (seleccione), DHCP S

Service: DHCP-Relay

Action: Tunnel

Tunnel VPN: to_dhcp

Modify matching outgoing VPN policy: (selecc

8. Establecer una ruta al enrutador externo designado como puerta de enlace predeterminada es esencial tanto para elred. En este ejemplo, el dispositivo NetScreen envía tráfico VPN encapsulado a este enrutador como primer salto a NetScreen remoto. En la ilustración de este ejemplo, el concepto aparece representando como túnel atravesando el


405

nterface ethernet3

es-sha

0

gateway 1.1.1.250

lay tunnel vpn to_dhcplay tunnel vpn to_dhcp


CLI

1. Interfacesset interface ethernet1 zone trustset interface ethernet1 ip 180.10.10.1/24set interface ethernet1 routeset interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24

2. Direcciónset address untrust dhcp_server 194.2.9.10/32

3. VPNset ike gateway “dhcp server” ip 2.2.2.2 main outgoing-i

proposal rsa-g2-3des-shaset vpn to_dhcp gateway “dhcp server” proposal g2-esp-3d

4. Agente de retransmisión de DHCPset interface ethernet1 dhcp relay server-name 194.2.9.1set interface ethernet1 dhcp relay vpn


6. Directivasset policy from trust to untrust any dhcp_server dhcp-reset policy from untrust to trust dhcp_server any dhcp-resave


406

ámicamente de un servidor faces asociadas a una sola ninguna de ellas esté s conectadas al mismo el cliente DHCP recibe una

dinámicamente. Cuando el cibe su dirección IP, la a dirección arrendada. La

gente de retransmisión urar más de un papel


Cliente DHCPCuando actúa como cliente DHCP, el dispositivo NetScreen recibe una dirección IP dinDHCP para cualquier interfaz física en cualquier zona de seguridad. Si hay varias interzona de seguridad, puede configurar un cliente DHCP para cada interfaz, siempre queconectada al mismo segmento de red. Si configura un cliente DHCP para dos interfacesegmento de red, se utilizará la primera dirección asignada por un servidor DHCP. (Si actualización de dirección para la misma dirección IP, IKE no se reencripta).

Ejemplo: Dispositivo NetScreen como cliente DHCPEn este ejemplo, la interfaz asociada a la zona Untrust tiene una dirección IP asignadadispositivo NetScreen solicita una dirección IP al proveedor de servicios de Internet, remáscara de subred, la dirección IP de la puerta de enlace y el periodo de vigencia de ldirección IP del servidor DHCP es 2.2.2.5.

Nota: Aunque algunos dispositivos NetScreen pueden actuar como servidor DHCP, ade DHCP o cliente DHCP al mismo tiempo, en una misma interfaz no se puede configde DHCP.

Zona Trust

1. Dirección IP solicitada para ethernet3 (zona Untrust)

2. Dirección IP asignadaISP

(servidor DHCP)

InternetZona Untrust

LAN interna

2.2.2.5


407

HCP9 y haga clic en OK .

os siguientes medios:

ediante comandos CLI.


WebUI

Network > Interfaces > Edit (para ethernet3): Seleccione Obtain IP using D

CLI

set interface ethernet3 dhcp clientset interface ethernet3 dhcp settings server 2.2.2.5save

Nota: Antes de poder configurar un sitio para el servicio DHCP, debe disponer de l

• Línea de abonado digital (DSL) y el módem correspondiente

• Cuenta con un ISP

9. La dirección IP del servidor DHCP no se puede especificar mediante WebUI; no obstante, sí se puede especificar m


408

inámico de hosts (“Dynamic s TCP/IP y dirección IP para en pueden actuar como alquier zona. Cuando un CP, puede transferir a su de cliente DHCP10. Los áscara de subred, así como

predeterminado del dispositivo do reside en la interfaz de la zona modo de puerto “Trust-Untrust”, en

ork” y “Combined”. Para otros

ervidor DHCP

na Untrust: Cliente DHCP

lientes de DHCP

na Trust: Servidor DHCPones IP dinámicamente del ISP.

.1.1/0go de DHCP:.1.50 - 10.1.1.200


Propagación de los ajustes TCP/IPAlgunos dispositivos NetScreen pueden actuar como cliente del protocolo de control dHost Control Protocol” o “DHCP”), recibiendo de un servidor DHCP externo sus ajustecualquier interfaz física en cualquier zona de seguridad. Algunos dispositivos NetScreservidores DHCP, proporcionando ajustes TCP/IP y direcciones IP a los clientes en cudispositivo NetScreen actúa simultáneamente como cliente DHCP y como servidor DHmódulo predeterminado de servidor DHCP los ajustes TCP/IP obtenidos de su móduloajustes TCP/IP incluyen la dirección IP de la puerta de enlace predeterminada y una mlas direcciones IP para cualquiera o todos los servidores siguientes:

10. Si bien es posible configurar hasta ocho servidores DHCP en cualquier interfaz física o interfaz VLAN, el servidor DHCPreside en una interfaz específica en cada plataforma. En el dispositivo NetScreen-5XP, el servidor DHCP predeterminaTrust. En el dispositivo NetScreen-5XT, el servidor DHCP predeterminado reside en la interfaz de la zona Trust para el la interfaz ethernet1 para el modo de puerto “Dual-Untrust” y en la interfaz ethernet2 para los modos de puerto “Home-Wdispositivos, el servidor DHCP predeterminado reside en la interfaz ethernet1.

• DNS (3) • SMTP (1)

• WINS (2) • POP3 (1)

• NetInfo (2) • News (1)

S

Interfaz de la zo

Zona Trust

Zona Untrust

Ajustes TCP/IP y dirección IP de la interfaz de la zona Untrust

Ajustes TCP/IP

C

Interfaz de la zo

El dispositivo NetScreen es a la vez un cliente del servidor DHCP en la zona Untrust y un servidor DHCP para los clientes de la zona Trust.

Toma los ajustes TCP/IP que recibe como cliente DHCP y los reenvía como servidor DHCP a los clientes en la zona Trust.

ISP

Recibe direcci

10.1Ran10.1


409

ede configurar el módulo del update-dhcpserver . También

nte DHCP en la interfaz erminado se encuentra en la

z ethernet3 y sus ajustes o de cliente DHCP en el P que reciba.

ajustes TCP/IP que reciba del

ara de red y los servidores

tes ajustes TCP/IP que no

es IP del siguiente conjunto de 50 – 10.1.1.200.

s IP (lo cual es el comportamiento a máscara de red debe eliminarse el


Para propagar todos los ajustes TCP/IP que reciba del módulo de cliente DHCP, puservidor DHCP ejecutando el comando set interface interface dhcp-client settingspuede dar preferencia a cualquier ajuste sobre otro.

Ejemplo: Reenviar ajustes TCP/IPEn este ejemplo configurará el dispositivo NetScreen para actuar a la vez como clieethernet3 y como servidor DHCP en la interfaz ethernet1. (El servidor DHCP predetinterfaz ethernet1).

Como cliente DHCP, el dispositivo NetScreen recibe una dirección IP para la interfaTCP/IP de un servidor DHCP externo con la dirección 211.3.1.6. Habilitará el móduldispositivo NetScreen para transferir al módulo de servidor DHCP los ajustes TCP/I

Configurará el módulo de servidor DHCP NetScreen para hacer lo siguiente con losmódulo de cliente DHCP:

• Reenviar las direcciones IP de DNS a sus clientes DHCP en la zona Trust.

• Ignorar las direcciones IP de la puerta de enlace predeterminada11, la máscSMTP y POP3, dando preferencia a las siguientes:

– 10.1.1.1 (dirección IP de la interfaz ethernet1)

– 255.255.255.0 (máscara de red para la interfaz ethernet1)

– SMTP: 211.1.8.150

– POP3: 211.1.8.172

También configurará el módulo de servidor DHCP para que proporcione los siguienrecibe del módulo de cliente DHCP:

• Servidor WINS principal: 10.1.2.42

• Servidor WINS secundario: 10.1.5.90

Finalmente, configurará el módulo de servidor DHCP de modo que asigne direcciondirecciones IP a los hosts que actúen como clientes DHCP en la zona Trust: 10.1.1.

11. Si el servidor DHCP ya está habilitado en la interfaz de la zona Trust y dispone de un conjunto definido de direccionepredeterminado en algunos dispositivos NetScreen), antes de poder cambiar la puerta de enlace predeterminada y lconjunto de direcciones IP.


410

3.1.6server

1.155.255.04290172150.1.200


WebUI

CLI

1. Cliente DHCPset interface ethernet3 dhcp-client settings server 211.set interface ethernet3 dhcp-client settings update-dhcpset interface ethernet3 dhcp-client settings autoconfigset interface ethernet3 dhcp-client enable

2. Servidor DHCPset interface ethernet1 dhcp server option gateway 10.1.set interface ethernet1 dhcp server option netmask 255.2set interface ethernet1 dhcp server option wins1 10.1.2.set interface ethernet1 dhcp server option wins2 10.1.5.set interface ethernet1 dhcp server option pop3 211.1.8.set interface ethernet1 dhcp server option smtp 211.1.8.set interface ethernet1 dhcp server ip 10.1.1.50 to 10.1set interface ethernet1 dhcp server servicesave

Nota: Esta característica solamente se puede establecer mediante CLI.

Capítulo 8 Parámetros del sistema PPPoE

411

protocolo punto a punto so telefónico, con el protocolo las instalaciones del cliente. ccesos, la facturación y el tipo

s NetScreen admiten un cliente des de cable gestionadas por

PoE en cualquier interfaz o en una contraseña, así como con e Ethernet (una principal y una

ara PPPoE. Por ejemplo, en el ra DHCP y la interfaz de

erfaz principal como para la de

een para conexiones PPPoE, y

inámicamente para su interfaz icamente direcciones IP para cliente PPPoE y como servidor plo se encuentra en modo NAT.


PPPOEEl protocolo PPP a través de Ethernet (“PPP-over-Ethernet” o “PPPoE”) combina el(“Point-to-Point Protocol” o “PPP”), utilizado generalmente para conexiones de acceEthernet, que permite conectar varios usuarios de un sitio a los mismos equipos de Aunque muchos usuarios pueden compartir la misma conexión física, el control de ade servicio se gestionan independientemente para cada usuario. Algunos dispositivoPPPoE, permitiéndoles funcionar de modo compatible con DSL, Ethernet Direct y reISPs, que utilizan el protocolo PPPoE para el acceso a Internet de sus clientes.

En dispositivos que admiten PPPoE se puede configurar una instancia de cliente PPtodas ellas. Configurará una instancia PPPoE específica con un nombre de usuario yotros parámetros, y asociará la instancia a una interfaz. Cuando hay dos interfaces dde respaldo) asociadas a la zona Untrust, puede configurar una de ellas o ambas pmodo de puerto “Dual Untrust”12, puede configurar la interfaz principal (ethernet3) parespaldo (ethernet2) para PPPoE. O bien, puede configurar PPPoE tanto para la intrespaldo.

Ejemplo: Configurar PPPoEEl ejemplo siguiente ilustra cómo definir la interfaz no fiable de un dispositivo NetScrcómo iniciar el servicio PPPoE.

En este ejemplo, el dispositivo NetScreen recibe del ISP una dirección IP asignada dde la zona Untrust (ethernet3), al tiempo que el dispositivo NetScreen asigna dinámlos tres hosts de su zona Trust. En este caso, el dispositivo NetScreen actúa como DHCP. La interfaz de la zona Trust debe estar en modo NAT o Route. En este ejem

12. Algunos dispositivos NetScreen, como el NetScreen-5XT, admiten los modos de puerto.


412

e los siguientes medios:


e)

Internet

Zona Untrust


Antes de configurar el sitio de este ejemplo para el servicio PPPoE, debe disponer d

• Línea de abonado digital (DSL) y el módem correspondiente

• Cuenta con un ISP

• Nombre de usuario y contraseña (obtenida del ISP)

WebUI

1. Interfaces y PPPoENetwork > Interfaces > Edit (para ethernet1): Introduzca los siguientes dato

Zone: Trust



DispositivoNetScreen

Módem DSL

ISP

Línea DSL

Concentrador (hub)

DSLAMCA

Servidor DNS principal

Servidor DNS secundarioZona TrustRango de DHCP:

172.16.30.2 - 172.16.30.5

Untrust (ethernet3): modo DHCP Interfaz de Trust: 172.16.30.10/24


413

s y haga clic en OK:

a>

oE, haga clic en Connect .

rver y haga clic en Apply .

tes datos y haga clic en Apply :

y haga clic en Return:

)

Internet (ISP) proporciona direcciones IP para los dispositivo NetScreen recibe ben de forma predeterminada n los ajustes locales, puede este comportamiento. obtener las direcciones IP de n y en los hosts de la zona



Zone: Untrust

Obtain IP using PPPoE: (seleccione)

User Name/Password: <nombre>/<contraseñ

Network > Interfaces > Edit (para ethernet3): Para verificar su conexión PPP

2. Servidor DHCPNetwork > Interfaces > Edit (para ethernet1) > DHCP: Seleccione DHCP Se

Network > Interfaces > Edit (para ethernet1) > DHCP: Introduzca los siguien

Lease: 1 hour

Gateway: 0.0.0.0

Netmask: 0.0.0.0

DNS#1: 0.0.0.0

> Advanced: Introduzca los siguientes datos

DNS#2: 0.0.0.0

Domain Name: (dejar en blanco

Nota: Cuando se inicia una conexión PPPoE, el proveedor de servicios deautomáticamente las direcciones IP para la interfaz de la zona Untrust y lasservidores del servicio DNS (“Domain Name Service” o “DNS”). Cuando el direcciones DNS a través de PPPoE, los nuevos ajustes de DNS sobrescrilos ajustes locales. Si no desea que los nuevos ajustes de DNS reemplaceutilizar el comando CLI unset pppoe dhcp-updateserver para desactivarSi utiliza una dirección IP estática para la interfaz de la zona Untrust, debelos servidores DNS e introducirlos manualmente en el dispositivo NetScreeTrust.


414

os siguientes datos y haga clic

bajo.

ndrá de éste las direcciones IP

a los servidores DNS. conexión TCP/IP.

Untrust pasa automáticamente

a zona Trust, el dispositivo NS que recibe del ISP a los

DHCP, deberá introducir


Network > Interfaces > DHCP (para ethernet1) > New Address: Introduzca len OK :




3. Activación de PPPoE en el dispositivo NetScreenApague el módem DSL, el dispositivo NetScreen y las tres estaciones de tra

Encienda el módem DSL.

Encienda el dispositivo NetScreen.

El dispositivo NetScreen establecerá una conexión PPPoE con el ISP y obtepara los servidores DNS.

4. Activación de DHCP en la red internaEncienda las estaciones de trabajo.

Las estaciones de trabajo recibirán automáticamente las direcciones IP parObtendrán una dirección IP para sí mismas cuando intenten establecer una

Cada conexión TCP/IP que establece un host de la zona Trust hacia la zonapor el proceso de encapsulado PPPoE.

Nota: Cuando se utiliza DHCP para asignar direcciones IP a los hosts de lNetScreen reenvía automáticamente las direcciones IP de los servidores Dhosts.

Si las direcciones IP para los hosts no se asignan dinámicamente mediantemanualmente las direcciones IP de los servidores DNS en cada host.


415

2.16.30.5

bajo.

a los servidores DNS. conexión TCP/IP.

Untrust pasa automáticamente


CLI

1. Interfaces y PPPoEset interface ethernet1 zone trustset interface ethernet1 ip 172.16.30.10/24set interface ethernet3 zone untrustset pppoe interface ethernet3set pppoe username name_str password pswd_str

Para comprobar su conexión PPPoE:

exec pppoe connectget pppoe

2. Servidor DHCPset interface ethernet1 dhcp server serviceset interface ethernet1 dhcp server ip 172.16.30.2 to 17set interface ethernet1 dhcp server option lease 60save

3. Activación de PPPoE en el dispositivo NetScreenApague el módem DSL, el dispositivo NetScreen y las tres estaciones de tra

Encienda el módem DSL.

Encienda el dispositivo NetScreen.

4. Activación de DHCP en la red internaEncienda las estaciones de trabajo.

Las estaciones de trabajo recibirán automáticamente las direcciones IP parObtendrán una dirección IP para sí mismas cuando intenten establecer una

Cada conexión TCP/IP que establece un host de la zona Trust hacia la zonapor el proceso de encapsulado PPPoE.


416

paldo de la

st”. En el ejemplo siguiente ) hacia la zona Untrust.

:

:


Ejemplo: Configurar PPPoE en las interfaces principal y de reszona UntrustEn este ejemplo, el dispositivo NetScreen-5XT se encuentra en el modo “Dual Untruconfigurará PPPoE para las interfaces principal (ethernet3) y de respaldo (ethernet2

WebUI

Configuración de PPPoE para la interfaz ethernet3

Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK

PPPoE instance: eth3-pppoe

Bound to interface: ethernet3 (seleccione)

Username: user1

Password: 123456

Authentication: Any (seleccione)

Access Concentrator: ac-11

Configuración de PPPoE para la interfaz ethernet2

Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK

PPPoE instance: eth2-pppoe

Bound to interface: ethernet2 (seleccione)

Username: user2

Password: 654321

Authentication: Any (seleccione)

Access Concentrator: ac-22


417

oE (cada una con la misma de red privada con un ISP y establecer estas conexiones te a otros ISPs.

do solamente por el número de e interfaces físicas que pueden e-timeout, auto-connect y otros


CLI

1. Configuración de PPPoE para la interfaz ethernet3set pppoe name eth3-pppoe username user1 password 123456set pppoe name eth3-pppoe ac ac-11set pppoe name eth3-pppoe authentication anyset pppoe name eth3-pppoe interface ethernet3

2. Configuración de PPPoE para la interfaz ethernet2set pppoe name eth2-pppoe username user2 password 654321set pppoe name eth2-pppoe ac ac-22set pppoe name eth2-pppoe authentication anyset pppoe name eth2-pppoe interface ethernet2save

Múltiples sesiones PPPoE a través de una sola interfazAlgunos dispositivos NetScreen admiten la creación de múltiples subinterfaces PPPdirección MAC) para una interfaz física dada. Esto permite establecer una conexiónconectarse a Internet a través de otro ISP utilizando la misma interfaz física. Puedeusando otro nombre de usuario o nombres de dominio o conectarse simultáneamen

El número máximo de sesiones PPPoE simultáneas en una interfaz física está limitasubinterfaces permitidas por el dispositivo. No hay restricción en cuanto al número dadmitir múltiples sesiones. Puede especificar los parámetros username, static-ip, idlpor separado para cada instancia o sesión PPPoE.


418

z no etiquetada no utiliza una En lugar de ello, utiliza una PoE. De este modo, al instancias PPPoE. Puede cado (CA), permitiendo que una sola interfaz. Para obtener virtuales”.

res de accesos

ica (p. ej. ethernet7)

isp_1ac

isp_2ac

isp_3ac

Tres sesiones PPPoE


Interfaces no etiquetadasPara admitir una sesión PPPoE, la subinterfaz no debe estar etiquetada. Una interfaetiqueta de LAN virtual para identificar la VLAN correspondiente a una subinterfaz. característica denominada “encap”, que asocia la subinterfaz a la encapsulación PPhospedar múltiples subinterfaces, una sola interfaz física puede hospedar múltiples configurar cada instancia de modo que acceda al concentrador de accesos especifientidades independientes tales como ISPs administren sesiones PPPoE a través demás información sobre VLANs y etiquetas VLAN, consulte el Volumen 9, “Sistemas

Múltiples subinterfaces

Concentrado

Interfaz física ún

isp_2acisp_1ac

isp_2isp_3

isp_1

isp_3ac


ethernet7

Tres instancias PPPoEe7

e7.1e7.2


419

r de accesos (CA) para cada

h”, asociada a la interfaz

asociada a la subinterfaz

sociada a la subinterfaz

atos y haga clic en OK:

aga clic en OK:

aga clic en OK:


Ejemplo: Múltiples instancias PPPoEEn el ejemplo siguiente definirá tres instancias PPPoE, especificará un concentradouna y luego iniciará cada instancia.

• Instancia isp_1, nombre de usuario “user1@domain1”, contraseña “swordfisethernet7. El CA se llama “isp_1ac”.

• Instancia isp_2, nombre de usuario “user2@domain2”, contraseña “marlin”,ethernet7.1. El CA se llama “isp_2ac”.

• Instancia isp_3, nombre de usuario “user3@domain3”, contraseña “trout”, aethernet7.2. El CA se llama “isp_3ac”.

WebUI

Interfaz y subinterfaces

1. Network > Interfaces > Edit (para ethernet7): Introduzca los siguientes d

Zone Name: Untrust

2. Network > Interfaces > New (Sub-IF): Introduzca los siguientes datos y h

Interface Name: ethernet7.1

Zone Name: Untrust

3. Network > Interfaces > New (Sub-IF): Introduzca los siguientes datos y h

Interface Name: ethernet7.2

Zone Name: Untrust


420

OK:

OK:

OK:


Instancias PPPoE y CA

4. Network > PPPoE > New: Introduzca los siguientes datos y haga clic en

PPPoE Instance: isp_1

Enable: Enable

Bound to Interface: ethernet7

Username: user1@domain1

Access Concentrator: isp_1ac



Enable: Enable

Bound to Interface: ethernet7.1





Enable: Enable

Bound to Interface: ethernet7.2



Iniciación del protocolo PPPoE

7. Network > PPPoE > Connect (para isp_1)




421

rdfish

lin

ut


CLI

1. Interfaz y subinterfacesset interface ethernet7 zone untrustset interface ethernet7.1 encap pppoe zone untrustset interface ethernet7.2 encap pppoe zone untrust

2. Instancias PPPoE y CAsset pppoe name isp_1 username user1@domain1 password swoset pppoe name isp_1 interface ethernet7set pppoe name isp_1 ac isp_1acset pppoe name isp_2 username user2@domain2 password marset pppoe name isp_2 interface ethernet7.1set pppoe name isp_2 ac isp_2acset pppoe name isp_3 username user3@domain3 password troset pppoe name isp_3 interface ethernet7.2set pppoe name isp_3 ac isp_3acsave

3. Iniciación del protocolo PPPoEexec pppoe name isp_1 connectexec pppoe name isp_2 connectexec pppoe name isp_3 connect


422

mir el fallo de una conexión stado PPPoE con el dispositivo ositivo maestro, no tiene que ede mantener la comunicación ando la interfaz PPPoE está después del fallo. Para obtener 0, “Alta disponibilidad”.


PPPoE y alta disponibilidadDos dispositivos NetScreen que admitan PPPoE en modo activo/pasivo pueden asuPPPoE. En el momento de iniciar la conexión, el dispositivo maestro sincroniza su ede respaldo. Dado que el dispositivo pasivo utiliza la misma dirección IP que el dispestablecer una nueva conexión PPPoE al convertirse en el maestro. Por lo tanto, pucon el concentrador de accesos después del fallo del maestro. Esto es necesario cusoportando conexiones de VPN que deben mantenerse con la misma IP de interfaz más información sobre configuraciones de alta disponibilidad, consulte el Volumen 1

Capítulo 8 Parámetros del sistema Actualización o degradación de firmware

423

olo dispositivo o en dispositivos

424425

na 431 pàgina 434a” en la pàgina 434 pàgina 439

DI” en la pàgina 448

zar a la 5.0.0 antes de poder

arde el archivo de configuración ita restablecerlo.


ACTUALIZACIÓN O DEGRADACIÓN DE FIRMWAREEsta sección describe tres métodos para actualizar un dispositivo NetScreen:

• Interfaz de usuario basada en web (WebUI)

• Interfaz de línea de comandos (CLI )

• Cargador de arranque o cargador de ScreenOS

Los procedimientos varían dependiendo de si está descargando el firmware en un sconfigurados para alta disponibilidad.

La sección contiene los siguientes apartados:

• “Requisitos para actualizar o degradar firmware del dispositivo” en la pàgina– “Conexión del servidor de NetScreen-Security Manager” en la pàgina

• “Descarga de nuevo firmware” en la pàgina 426– “Carga de nuevo firmware” en la pàgina 429– “Mediante el cargador de arranque o del sistema operativo” en la pàgi

• “Actualización de dispositivos NetScreen en una configuración NSRP” en la– “Actualización de dispositivos en una configuración NSRP activa/pasiv– “Actualizar dispositivos en una configuración NSRP activa/activa” en la

• “Autenticar firmware y archivos DI” en la pàgina 445– “Obtención del certificado de autenticación” en la pàgina 445– “Carga del certificado de autenticación” en la pàgina 447– “Autenticación de firmware de ScreenOS” en la pàgina 448– “Autenticación de un archivo de base de datos de objetos de ataques

Nota: Si tiene una versión anterior a la 5.0.0 (por ejemplo, la 4.0.X), deberá actualiactualizar su NetScreen con el firmware de ScreenOS 5.1.0.

Importante: Antes de comenzar el proceso de actualizar un dispositivo NetScreen, guexistente y cerciórese de que dispone de un firmware 5.0.0 de ScreenOS por si neces


424

tivotivo NetScreen o restablecer n dispositivo NetScreen o el cargador de arranque o

tworks y guardado

u equipo

tworks y guardado en el

e, pero Juniper Networks mismo dispositivo


Requisitos para actualizar o degradar firmware del disposiEsta sección detalla los requisitos para realizar la actualización del firmware del disposiuna versión antigua. Puede utilizar uno de los tres siguientes métodos para actualizar udegradarlo de la versión ScreenOS 5.1.0 a la ScreenOS 5.0.0: WebUI, CLI o a través ddel cargador de ScreenOS.

Para utilizar WebUI, debe disponer de:

• Privilegios raíz (root) o de lectura-escritura en el dispositivo NetScreen

• Acceso por red al dispositivo NetScreen desde su equipo

• Un navegador de Internet instalado en su equipo

• El nuevo firmware de ScreenOS (descargado desde el sitio web de Juniper Nelocalmente en su equipo)

Para utilizar la interfaz de línea de comandos (CLI), debe disponer de:


• Una conexión de consola o un acceso Telnet al dispositivo NetScreen desde s

• Un servidor TFTP instalado en su equipo

• El nuevo firmware de ScreenOS (descargado desde el sitio web de Juniper Nedirectorio del servidor TFTP en su equipo)

Nota: Puede actualizar o degradar un dispositivo NetScreen localmente o remotamentrecomienda realizar la actualización o el restablecimiento de una versión anterior en elNetScreen.


425

sferir datos desde el servidor

dministrar el dispositivo

en su equipo

so a paso en las secciones positivos NetScreen en una

reen-Security Manager 2004,

ctarse al servidor de te de ScreenOS.


Para actualizar o degradar a través del cargador de arranque, debe disponer de:


• Un servidor TFTP instalado en su equipo o en su red local

• Una conexión Ethernet desde su equipo al dispositivo NetScreen (para tranTFTP en su equipo)

• Una conexión de consola desde su equipo al dispositivo NetScreen (para aNetScreen)

• El nuevo firmware de ScreenOS guardado en el directorio del servidor TFTP

Para actualizar o degradar un dispositivo NetScreen, consulte los procedimientos pasiguientes: “Carga de nuevo firmware” en la pàgina 429 o bien “Actualización de disconfiguración NSRP” en la pàgina 434.

Conexión del servidor de NetScreen-Security ManagerSi el dispositivo NetScreen que desea degradar está conectado a un servidor NetScantes de degradar el dispositivo deberá ejecutar los siguientes comandos CLI:

unset nsm enableunset nsm init otpunset nsm init idunset nsm server primarydelete nsm keyssave

Si no ejecuta estos comandos antes de degradar el dispositivo, éste no podrá coneNetScreen-Security Manager la próxima vez que lo actualice a la versión más recien


426

ware más reciente de acceder a descargas de . Si todavía no ha registrado su en el sitio web de Juniper

eenOS 5.1.0 que haya cargado lizar a ScreenOS 5.1.0


Descarga de nuevo firmwareAntes de comenzar la actualización de los dispositivos NetScreen, debe tener el firmScreenOS. Puede obtener el firmware desde el sitio web de Juniper Networks. Parafirmware, debe ser un cliente registrado con una ID de usuario y contraseña activasproducto NetScreen, deberá hacerlo antes de proceder. Puede registrar su productoNetworks.

Nota: Si degrada a la versión ScreenOS 5.0.0, se perderán todas las claves de Scren el dispositivo. Sin embargo, las claves cargadas en el dispositivo antes de actuapermanecerán intactas.


427

niper.net/support. Haga clic en

ic en LOGIN.


Para obtener el firmware de ScreenOS más reciente, visite el sitio web http://www.ju“Support > Customer Support Center” y siga estos pasos:

1. Inicie una sesión introduciendo su ID de usuario y contraseña y haciendo cl

2. Bajo “My Technical Assistance Center”, haga clic en Download Software.

Juniper mantiene una lista de las descargas disponibles.

3. Haga clic en Continue.

Aparecerá la página “File Download”.

Página “File Download”

Vínculos de productos

http://www.juniper.net/support


428

a descargar.

de firmware comprimido en

lización.

irmware en cualquier directorio.

irmware en el directorio raíz del o en su equipo, puede ible, debe utilizar WebUI para


4. Haga clic en el vínculo del producto cuyo firmware desea descargar.

Aparecerá la página “Upgrades”.

5. Haga clic en el vínculo correspondiente a la versión de ScreenOS que dese

Aparecerá la página “Upgrades”.

6. Haga clic en el vínculo “Upgrade”.

Aparecerá el cuadro de diálogo de descarga de archivos “Download File”.

7. Haga clic en Save y navegue a la ubicación donde desee guardar el archivoformato ZIP.

Debe guardar el firmware en el equipo desde el que desee realizar la actua

– Si desea actualizar el dispositivo NetScreen usando WebUI, guarde el f

– Si desea actualizar los dispositivos NetScreen usando CLI, guarde el fservidor TFTP en el equipo. Si no tiene ningún servidor TFTP instaladdescargar uno desde Internet. Si no hay ningún servidor TFTP disponcargar el nuevo firmware en el dispositivo NetScreen.


429

creen y para degradar un es del modo de

ormación sobre la obtención

a la dirección IP de íz (“root admin”) o como

(cfg.txt) y haga clic en Save.

nOS o escriba la ruta donde

ción.

radación estará completa

ware de ScreenOS del rmation” de la página

terior a ScreenOS 5.0.0, Asegúrese de guardar la


Carga de nuevo firmwareA continuación se incluyen los procedimientos para actualizar un solo dispositivo NetSsistema de ScreenOS 5.1.0 a ScreenOS 5.0.0. Estos procedimientos son independientfuncionamiento del dispositivo NetScreen.

Mediante WebUIRealice los pasos siguientes para cargar firmware con WebUI:

1. Cerciórese de que dispone del nuevo firmware de ScreenOS. Para obtener infdel nuevo firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.

2. Inicie una sesión en el dispositivo NetScreen con el explorador web e introduzcadministración en el campo “Address”. Inicie una sesión como administrador raadministrador con privilegios de lectura-escritura.

3. Guarde la configuración existente:a. Elija Configuration > Update > Config File y haga clic en Save to File. b. En el cuadro de diálogo “File Download”, haga clic en Save.c. Navegue a la ubicación donde desea guardar el archivo de configuración

4. Configuration > Update > ScreenOS/Keys > Select Firmware Update.5. Haga clic en Browse para navegar a la ubicación del nuevo firmware de Scree

se encuentra en el campo “Load File”.6. Haga clic en Apply.

Aparecerá un cuadro de mensaje con información sobre el tiempo de actualiza7. Haga clic en OK para continuar.

El dispositivo NetScreen se reiniciará automáticamente. La actualización o degcuando el dispositivo muestre la página de inicio de sesión en el explorador.

8. Inicie una sesión en el dispositivo NetScreen. Puede verificar la versión de firmdispositivo NetScreen en la sección de información del dispositivo “Device Infoprincipal de WebUI.

Nota: Si está actualizando un dispositivo NetScreen desde una versión de firmware andebe actualizar el firmware a ScreenOS 5.0.0 antes de actualizarlo a ScreenOS 5.1.0. configuración existente para evitar la pérdida de datos al actualizar.


430

información sobre la obtención 6.

elnet, Secure Shell (SSH) o ola. Inicie una sesión como

ctura-escritura.

flash | slot1 | tftp }.

el servidor TFTP.

e to flash, donde la dirección S.

ecer el dispositivo NetScreen. ispositivo.

en.

enOS del dispositivo

o


Mediante CLI

Realice los pasos siguientes para cargar firmware con CLI:

1. Cerciórese de que dispone del nuevo firmware de ScreenOS. Para obtenerdel nuevo firmware, consulte “Descarga de nuevo firmware” en la pàgina 42

2. Inicie una sesión en el dispositivo NetScreen usando una aplicación como THyperterminal si está conectado directamente a través del puerto de la consadministrador raíz (“root admin”) o como administrador con privilegios de le

3. Guarde la configuración existente ejecutando el comando save config to {

4. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicación d

5. En el dispositivo NetScreen, introduzca save soft from tftp ip_addr filenamIP es la de su equipo y el nombre de archivo es el del firmware de ScreenO

6. Cuando la actualización o degradación se haya completado, deberá restablEjecute el comando reset y teclee y cuando se le pida para restablecer el d

7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetScre

8. Utilice el comando get system para verificar la versión de firmware de ScreNetScreen.

9. Cargue el archivo de configuración que guardó en el paso 3 con el comandsave config to { flash | slot1 | tftp }.


431

raciones de hardware básicas, NetScreen.

e/SO:

nsola del dispositivo NetScreen. inistrar el dispositivo NetScreen.

puerto 1 o al puerto de ansferencia de datos entre el

directorio del servidor TFTP de onsulte “Descarga de nuevo

el servidor TFTP. Puede

al, como HyperTerminal. Inicie n privilegios de

o load new firmware” en la ir el proceso de arranque.

are de ScreenOS 5.1.0 en la la memoria flash.

irmware guardado en la


Mediante el cargador de arranque o del sistema operativoEl cargador de arranque/SO pone en marcha el sistema de hardware, realiza configuy a veces vitales, y carga el software del sistema utilizado para operar un dispositivo

Realice los pasos siguientes para cargar firmware mediante el cargador de arranqu

1. Conecte su equipo al dispositivo NetScreen:

a. Con un cable serie, conecte el puerto serie de su equipo al puerto de coEsta conexión, conjuntamente con una aplicación terminal, permite adm

b. Mediante un cable Ethernet, conecte el puerto de red de su equipo al administración del dispositivo NetScreen13. Esta conexión permite la trequipo, el servidor TFTP y el dispositivo NetScreen.

2. Asegúrese de que dispone del nuevo firmware de ScreenOS guardado en el su equipo. Para obtener información sobre la obtención del nuevo firmware, cfirmware” en la pàgina 426.

3. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicación dminimizar su ventana, pero debe permanecer activa en segundo plano.

4. Inicie una sesión en el dispositivo NetScreen usando un emulador de terminuna sesión como administrador raíz (“root admin”) o como administrador colectura-escritura.

5. Reinicie el dispositivo NetScreen.

6. Cuando aparezcan los mensajes “Hit any key to run loader” o “Hit any key tpantalla de la consola, presione cualquier tecla en su equipo para interrump

Nota: En el NetScreen-500, este proceso no se puede utilizar para guardar el firmwmemoria flash. Utilice WebUI o CLI para guardar el firmware de ScreenOS 5.1.0 en

13. El puerto utilizado para la conexión depende del modelo de dispositivo NetScreen.

Nota: Si no interrumpe el dispositivo NetScreen a tiempo, éste cargará el fmemoria flash.


432

de ScreenOS que desea

á el archivo especificado de la nombre de archivo, el archivo arjetas Compact Flash, mbre de archivo.

misma subred que la del

l servidor TFTP.

ualización de una serie de bolos moviéndose en la pletado, un mensaje le

e arranque

uiente:

n se ejecuta automáticamente

ionar un nombre de archivo

; de lo contrario, el cargador de


7. En el mensaje “Boot File Name”, escriba el nombre del archivo del firmwarecargar. Si escribe slot1: antes del nombre de archivo especificado, el cargador leerCompact Flash o tarjeta de memoria externa. Si no escribe slot1: antes delserá descargado del servidor TFTP. Si el dispositivo NetScreen no admite taparecerá un mensaje de error y la consola le pedirá escribir de nuevo el no

8. En el mensaje “Self IP Address”, escriba una dirección IP perteneciente a laservidor TFTP.

9. Cuando aparezca el mensaje “TFTP IP Address”, escriba la dirección IP de

Una indicación de que el firmware se está cargando correctamente es la vis“rtatatatatatata…” en la pantalla del emulador de terminal y una serie de símventana del servidor TFTP. Cuando la instalación del firmware se haya cominformará de la instalación correcta.

Guardar múltiples imágenes del firmware con el cargador d

Una vez descargado correctamente el firmware, la consola visualiza la pregunta sig

Save to on-board flash disk? (y/[n]/m)

Responda y (sí) para guardar el archivo como firmware predeterminado. Esta imagesi usted no interrumpe el proceso de arranque.

Responda m (múltiple) para guardar el archivo como firmware múltiple. Debe selecccuando aparezca el aviso siguiente:

Please input multiple firmware file name [BIMINITE.D]: test.d

Nota: Las direcciones “Self IP” y “TFTP IP” deben estar en la misma subredTFTP rechaza la dirección “Self IP” y pide que se vuelva a introducir.


433

a partir del nombre introducido do.

8.3. La longitud máxima del aracteres. Sólo las series

En el NetScreen-5GT, puede NetScreen-ISG2000 y h integrado.


El nombre entre corchetes es el nombre recomendado, generado automáticamenteen el servidor TFTP. Si no introduce ningún nombre, se utiliza el nombre recomenda

Nota: Debe introducir un nombre compatible con la nomenclatura de archivos DOSnombre del archivo de arranque utilizado por el cargador no puede exceder de 63 cNetScreen-5GT, NetScreen-ISG200 y NetScreen-5000 admiten firmware múltiple. asignar un máximo de tres archivos de firmware al disco flash integrado. Las seriesNetScreen-5000 no tienen límite para guardar archivos de firmware en el disco flas


434

ación NSRPtScreen (“NetScreen Esta sección describe dos : NSRP activa/pasiva y NSRP

va/pasivaispositivo A es el maestro y el

ara actualizar o degradar ware de ScreenOS al que está

creenOS 5.0.0, debe actualizar dimientos de esta sección nOS 5.1.0.

evo firmware. Hacerlo podría


Actualización de dispositivos NetScreen en una configurPara dispositivos NetScreen en una configuración del protocolo de redundancia NeRedundancy Protocol” o “NSRP”), debe actualizar cada dispositivo individualmente.procedimientos distintos de actualización para dos configuraciones NSRP diferentesactiva/activa.

Actualización de dispositivos en una configuración NSRP actiEl ejemplo siguiente ilustra una configuración NSRP básica activa/pasiva en la que el ddispositivo B es el respaldo.

Antes de comenzar, lea los requisitos para realizar una actualización (“Requisitos pfirmware del dispositivo” en la pàgina 424). Asegúrese también de descargar el firmactualizando cada dispositivo.

Nota: Si está actualizando un dispositivo NetScreen desde una versión anterior a Sel dispositivo a ScreenOS 5.0.0 antes de actualizarlo a ScreenOS 5.1.0. Los procedescriben cómo actualizar un dispositivo NetScreen desde ScreenOS 5.0.0 a Scree

Aviso: No apague su dispositivo NetScreen mientras se está actualizando con el nudañar permanentemente el dispositivo.

NSRP Activa/Pasiva

Dispositivo A (maestro) Dispositivo B (respaldo)

Vínculo HA

Grupo VSD 0


435

pasos (tenga en cuenta que s CLI):

formación sobre la obtención

ternet Explorer o Netscape) e una sesión como lectura-escritura.

.

ción (cfg.txt) y haga clic en

pdate.

5.1.0 o escriba la ruta donde

ualización.


Procedimiento de actualización

Para actualizar dos dispositivos en una configuración NSRP activa/pasiva, siga estosalgunos de estos pasos sólo se pueden ejecutar con la interfaz de línea de comando

A. Actualizar el dispositivo B a ScreenOS 5.1.0

B. Conmutar el dispositivo A al dispositivo B (sólo CLI)

C. Actualizar dispositivo A a ScreenOS 5.1.0

D. Sincronizar el dispositivo A (sólo CLI)

E. Conmutar el dispositivo B al dispositivo A (sólo CLI)

A. Actualizar el dispositivo B a ScreenOS 5.1.0

WebUI

1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más indel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.

2. Inicie una sesión en el dispositivo B con el explorador web (por ejemplo, Inintroduzca la dirección IP de administración en el campo “Address”. Inicieadministrador raíz (“root admin”) o como administrador con privilegios de

3. Guarde la configuración existente:

a. Elija Configuration > Update > Config File y haga clic en Save to File

b. En el cuadro de diálogo “File Download”, haga clic en Save.

c. Navegue a la ubicación donde desea guardar el archivo de configuraSave.

4. Elija Configuration > Update > ScreenOS/Keys y seleccione Firmware U

5. Haga clic en Browse para navegar a la ubicación del firmware ScreenOSse encuentra en el campo “Load File”.

6. Haga clic en Apply.

Aparecerá un cuadro de mensaje con información sobre el tiempo de act


436

estará completa cuando el

de firmware de ScreenOS del ce Information” de la página

nformación sobre la obtención

, Secure Shell (SSH) o onsola. Inicie una sesión como lectura-escritura.

o { flash | slot1 | tftp }.

ón del servidor TFTP.

ame to flash. Donde la de ScreenOS 5.1.0.

ositivo NetScreen. Ejecute el ivo.

creen.

creenOS del dispositivo


7. Haga clic en OK para continuar.

El dispositivo NetScreen se reiniciará automáticamente. La actualizacióndispositivo muestre la página de inicio de sesión en el explorador.

8. Inicie una sesión en el dispositivo NetScreen. Puede verificar la versión dispositivo NetScreen en la sección de información del dispositivo “Deviprincipal de WebUI.

CLI

1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más idel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.

2. Inicie una sesión en el dispositivo B usando una aplicación como TelnetHyperterminal si está conectado directamente a través del puerto de la cadministrador raíz (“root admin”) o como administrador con privilegios de

3. Guarde la configuración existente ejecutando el comando save config t

4. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicaci

5. En el dispositivo NetScreen, introduzca save soft from tftp ip_addr filendirección IP es la de su equipo y el nombre de archivo es el del firmware

6. Cuando la actualización se haya completado, deberá restablecer el dispcomando reset y teclee y cuando se le pida para restablecer el disposit

7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetS

8. Utilice el comando get system para verificar la versión de firmware de SNetScreen.


437

jecutar depende de si la opción

up 0 mode ineligible

0 mode backup

l dispositivo de respaldo a


e.

ación (cfg.txt) y haga clic en

pdate.

S 5.1.0 o escriba la ruta donde

tualización.

olumen 8 de NetScreen conceptos y


B. Conmutar el dispositivo A al dispositivo B (sólo CLI)

Conmute manualmente el dispositivo maestro al dispositivo de respaldo.

1. Inicie una sesión en el dispositivo maestro.

2. Ejecute uno de los comandos siguientes de CLI. El comando que debe e“preempt”14 está activada en el dispositivo maestro.

– Si la característica “preempt” está activada: exec nsrp vsd-gro

– Si la opción “preempt no” está activada: exec nsrp vsd-group

Cualquiera de ambos comandos fuerza al dispositivo maestro a retirarse y aasumir inmediatamente su función.

C. Actualizar dispositivo A a ScreenOS 5.1.0

WebUI


2. Inicie una sesión en el dispositivo NetScreen A.


a. Elija Configuration > Update > Config File y haga clic en Save to Fil


c. Navegue a la ubicación donde desea guardar el archivo de configurSave.


5. Haga clic en Browse para navegar a la ubicación del firmware ScreenOse encuentra en el campo “Load File”.


Aparecerá un cuadro de mensaje con información sobre el tiempo de ac

14. Para obtener más información sobre la opción de asignación de prioridad “preempt” y NSRP en general, consulte el Vejemplos: manual de referencia de ScreenOS..


438




o { flash | slot1 | tftp }.plicación del servidor TFTP.ame to flash. Donde la de ScreenOS 5.1.0.ositivo NetScreen. Ejecute el ivo.creen.creen con el comando get

incronice manualmente ambos nsrp sync rto all from peer

o maestro al dispositivo de positivo B (sólo CLI)” en la al dispositivo B en lugar de





CLI


2. Inicie sesión en el dispositivo A de NetScreen.3. Guarde la configuración existente ejecutando el comando save config t4. Ejecute el servidor TFTP en su computadora haciendo doble clic en la a5. En el dispositivo NetScreen, introduzca save soft from tftp ip_addr filen

dirección IP es la de su equipo y el nombre de archivo es el del firmware6. Cuando la actualización se haya completado, deberá restablecer el disp

comando reset y teclee y cuando se le pida para restablecer el disposit7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetS8. Puede verificar la versión del firmware de ScreenOS del dispositivo NetS

system.

D. Sincronizar el dispositivo A (sólo CLI)

Después de completar la actualización del dispositivo A a ScreenOS 5.1.0, sdispositivos. En el dispositivo A (de respaldo), ejecute el comando CLI execpara sincronizar los RTOs desde el dispositivo B (maestro).

E. Conmutar el dispositivo B al dispositivo A (sólo CLI)

Después de sincronizar los dispositivos, conmute manualmente el dispositivrespaldo. Siga los mismos pasos que en “B. Conmutar el dispositivo A al dispàgina 437 salvo que iniciando una sesión en el dispositivo B y conmutandohacerlo al dispositivo A.


439

vamparejaron dos dispositivos

evices” o VSD), siendo cada actualizar, primero tiene que aestro de ambos grupos VSD.

en segundo lugar.

spositivo A es maestro del VSD 0.

ara actualizar o degradar ware de ScreenOS 5.1.0.

evo firmware. Hacerlo podría

nculo HA

ivo A

ivo B


Actualizar dispositivos en una configuración NSRP activa/actiEsta sección de actualización es aplicable a una configuración NSRP en la que se eNetScreen en dos grupos de dispositivos de seguridad virtuales (“Virtual Security Ddispositivo físico el maestro en un grupo y el dispositivo de respaldo en el otro. Paraconmutar uno de los dispositivos de modo que solamente un dispositivo físico sea mA continuación, actualice el dispositivo de respaldo primero y el dispositivo maestro

A continuación se ilustra una configuración NSRP activa/activa típica, en la que el di0 y respaldo del VSD 1, y el dispositivo B es maestro del VSD 1 y respaldo del VSD

Antes de comenzar, lea los requisitos para realizar una actualización (“Requisitos pfirmware del dispositivo” en la pàgina 424). Asegúrese también de descargar el firm

Aviso: No apague su dispositivo NetScreen mientras se está actualizando con el nudañar permanentemente el dispositivo.

Ví

NSRP activo/activo

Disposit

Disposit


(respaldo)

(respaldo)

(maestro)

(maestro)


440

s pasos (tenga en cuenta que os CLI):

tivo de respaldo A del grupo

, Secure Shell (SSH) o onsola. Inicie una sesión como lectura-escritura.

jecutar depende de si la opción

up 1 mode ineligible

1 mode backup

sitivo A a asumir ositivo A es maestro de VSD 0

Volumen 8 de NetScreen Conceptos


Procedimiento de actualización

Para actualizar dos dispositivos en una configuración NSRP activa/activa, siga estoalgunos de estos pasos sólo se pueden ejecutar con la interfaz de línea de comand

A. Conmutar el dispositivo B en VSD 1 al dispositivo A en VSD 1 (sólo CLI)

B. Actualizar el dispositivo B a ScreenOS 5.1.0

C. Conmutar el dispositivo A al dispositivo B (sólo CLI)

D. Actualizar dispositivo A a ScreenOS 5.1.0

E. Sincronizar el dispositivo A (sólo CLI)

F. Conmutar el dispositivo B en VSD 0 al dispositivo A en VSD 0 (sólo CLI)

A. Conmutar el dispositivo B en VSD 1 al dispositivo A en VSD 1 (sólo CLI)

Conmute manualmente el dispositivo maestro B del grupo VSD 1 al disposiVSD 1.

1. Inicie una sesión en el dispositivo B usando una aplicación como TelnetHyperterminal si está conectado directamente a través del puerto de la cadministrador raíz (“root admin”) o como administrador con privilegios de

2. Ejecute uno de los comandos siguientes de CLI. El comando que debe e“preempt”15 está activada en el dispositivo maestro.

– Si la característica “preempt” está activada: exec nsrp vsd-gro

– Si la opción “preempt” no está activada: exec nsrp vsd-group

Cualquiera de ambos comandos fuerza al dispositivo B a retirarse y al dispoinmediatamente la función de maestro del VSD 1. En este momento, el dispy 1 y el dispositivo B es respaldo de VSD 0 y 1.

15. Para obtener más información sobre la opción de asignación de prioridad “preempt” y NSRP en general, consulte ely ejemplos: manual de referencia de ScreenOS..


441


or ejemplo, Internet Explorer o dress”. Inicie una sesión como lectura-escritura.

e.


pdate.


tualización.




B. Actualizar el dispositivo B a ScreenOS 5.1.0

WebUI


2. Inicie una sesión en el dispositivo B NetScreen con el explorador web (pNetscape) e introduzca la dirección IP de administración en el campo “Adadministrador raíz (“root admin”) o como administrador con privilegios de













442

ormación sobre la obtención

{ flash | slot1 | tftp }. del servidor TFTP.

me to flash. Donde la e ScreenOS 5.0.0.

sitivo NetScreen. Ejecute el o.

reen.

reen con el comando get

en el VSD 0 ejecutando uno de si la opción preempt está

0 mode ineligibleode backup en el VSD 1 ejecutando uno

de si la opción preempt está

1 mode ineligibleode backup

itivo A es respaldo de ambos


CLI

1. Cerciórese de que dispone del firmware de ScreenOS 5.1.0. Para más infdel firmware, consulte “Descarga de nuevo firmware” en la pàgina 426.

2. Inicie una sesión en el dispositivo B.

3. Guarde la configuración existente ejecutando el comando save config to4. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicación

5. En el dispositivo NetScreen, introduzca save soft from tftp ip _addr filenadirección IP es la de su equipo y el nombre de archivo es el del firmware d

6. Cuando la actualización se haya completado, deberá restablecer el dispocomando reset y teclee y cuando se le pida para restablecer el dispositiv

7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetSc

8. Puede verificar la versión del firmware de ScreenOS del dispositivo NetScsystem.

C. Conmutar el dispositivo A al dispositivo B (sólo CLI)

Conmute manual y totalmente el dispositivo A al dispositivo B.

1. Inicie una sesión en el dispositivo A.

2. Conmute el dispositivo maestro A en el VSD 0 al dispositivo de respaldo Bde los siguientes comandos CLI. El comando que debe ejecutar dependeactivada en el dispositivo maestro.

– Si la característica preempt está activada: exec nsrp vsd-group– Si la opción preempt no está activada: exec nsrp vsd-group 0 m

3. Conmute el dispositivo maestro A en el VSD 1 al dispositivo de respaldo Bde los siguientes comandos CLI. El comando que debe ejecutar dependeactivada en el dispositivo maestro.

– Si la característica preempt está activada: exec nsrp vsd-group– Si la opción preempt no está activada: exec nsrp vsd-group 1 m

En este momento, el dispositivo B es maestro de ambos VSD 0 y 1 y el disposVSD 0 y 1.


443


e.


pdate.


tualización.




D. Actualizar dispositivo A a ScreenOS 5.1.0

WebUI


2. Inicie una sesión en el dispositivo NetScreen A.













444


o { flash | slot1 | tftp }.ón del servidor TFTP.

name to flash. Donde la de ScreenOS 5.1.0.

ositivo NetScreen. Ejecute el ivo.

creen.

creen con el comando get

ncronice manualmente ambos all from peer para sincronizar

en en una configuración NSRP

A en el VSD 0 ejecutando uno e de si la opción preempt está

p 1 mode ineligible mode backup 1, y el dispositivo B es maestro


CLI



3. Guarde la configuración existente ejecutando el comando save config t4. Ejecute el servidor TFTP en su equipo haciendo doble clic en la aplicaci

5. En el dispositivo NetScreen, introduzca save soft from tftp ip _addr filedirección IP es la de su equipo y el nombre de archivo es el del firmware

6. Cuando la actualización se haya completado, deberá restablecer el dispcomando reset y teclee y cuando se le pida para restablecer el disposit

7. Espere unos minutos y vuelva a iniciar una sesión en el dispositivo NetS

8. Puede verificar la versión del firmware de ScreenOS del dispositivo NetSsystem.

E. Sincronizar el dispositivo A (sólo CLI)

Después de completar la actualización del dispositivo A a ScreenOS 5.1.0, sidispositivos. En el dispositivo A, ejecute el comando CLI exec nsrp sync rtolos RTOs desde el dispositivo B.

F. Conmutar el dispositivo B en VSD 0 al dispositivo A en VSD 0 (sólo CLI)

Como paso final, vuelva a generar instancias de ambos dispositivos NetScreactiva/activa.


2. Conmute el dispositivo maestro B en el VSD 0 al dispositivo de respaldode los siguientes comandos CLI. El comando que debe ejecutar dependactivada en el dispositivo maestro.

– Si la característica preempt está activada: exec nsrp vsd-grou– Si la opción preempt no está activada: exec nsrp vsd-group 1

En este momento, el dispositivo A es maestro del VSD 0 y respaldo del VSDdel VSD 1 y respaldo del VSD 0.


445

e imágenes en cada n un dispositivo NetScreen ntentar guardarlo en el Inspection (DI) al intentar

guridad y estabilidad. Si intenta tivo la rechaza antes de

iguientes:

arios de PC que no tengan n index.htm para ejecutar el

ción “Address”:

contraseña y haga clic en

e crearla en línea visitando .


Autenticar firmware y archivos DIDesde la versión ScreenOS 2.6.1r1, se ha incorporado una firma de autenticación dcompilación de ScreenOS. Si carga el certificado de autenticación (imagekey.cer) ecortafuegos/VPN de Juniper Networks, puede autenticar firmware de ScreenOS al idispositivo o autenticar archivos de la base de datos de objetos de ataques de Deepdescargarlos al dispositivo.

Autenticar una imagen y una base de datos de objeto de ataques DI proporciona seguardar una imagen o base de datos de ScreenOS modificada o dañada, el disposiguardarla en la memoria flash.

Obtención del certificado de autenticaciónPuede conseguir el archivo ZIP del certificado de autenticación en las dos fuentes s

• El CD de documentación suministrado con su dispositivo NetScreen:

1. Inserte el CD de documentación en la unidad de CD.

Debe ejecutarse automáticamente. (Para usuarios de Macintosh y usuactivada la opción de autoarranque en sus sistemas, haga doble clic eCD.)

2. Haga clic en Explore CD-ROM Contents .

3. Abra la carpeta extra .

El archivo image_key.zip se encuentra en esta carpeta.

• El área “Customer Support” del sitio web de Juniper Networks16:

1. Abra su explorador web y escriba la siguiente URL en el campo de direchttp://www.juniper.net/support/.

2. En la sección “Login to Support Center”, introduzca su ID de cliente y su LOGIN .

3. En la sección “Download Software”, haga clic en ScreenOS Software .

16. Debe ser un cliente registrado para acceder al área de soporte al cliente. Si aún no tiene una cuenta de cliente, puedhttp://www.juniper.net/support/, haciendo clic en Login Assistance y siguiendo las instrucciones de registro en línea




446

tication. Haga clic con el botón e Target As , y guarde el

los dos archivos siguientes de

ndiendo de si desea cargarlo


4. En el parte superior de la página hay una sección titulada Image Authenderecho en Download the Authentication Certificate , seleccione Savarchivo image_key.zip en un directorio local.

Una vez que haya obtenido el archivo ZIP del certificado, haga lo siguiente:

1. Utilice un programa de compresión de datos, como WinZip, para extraer image_key.zip : imagekey.cer y image_key_readme.pdf 17.

2. Guarde imagekey.cer en cualquiera de las siguientes ubicaciones, depeen el dispositivo NetScreen usando WebUI o CLI:

– WebUI: guárdelo en un directorio local

– CLI: guárdelo en el directorio raíz de un servidor TFTP

17. El archivo “readme” contiene esencialmente la misma información que esta sección.


447

onfirmar su integridad parándola con el siguiente

om. Bajo UNIX/Linux, puede

cado de autenticación antes de se carga en el dispositivo

certificado en el dispositivo

.


ione)

er o haga clic en Browse para imagekey.cer y haga clic en

e inicie una sesión.


Carga del certificado de autenticaciónAntes de cargar el certificado de autenticación en el dispositivo NetScreen, puede ccalculando una suma de comprobación criptográfica, o resumen del mensaje, y comresumen del mensaje MD5:

AC359646EDD723F541AA0E52E015E8F0

Una utilidad MD5 gratuita para Windows es FastSum, disponible en www.fastsum.cutilizar un programa como md5sum para calcular el resumen del mensaje.

Cuando se carga el certificado de autenticación, el firmware se verifica con el certifiejecutarlo o guardarlo. Si el firmware no supera la autenticación, es rechazado y noNetScreen.

Cuando tenga certeza sobre la integridad del certificado de autenticación, cargue elNetScreen mediante cualquiera de estos métodos:

WebUI1. Establezca una conexión HTTP al dispositivo NetScreen e inicie una sesión

2. Configuration > Update > ScreenOS/Keys: Introduzca los siguientes datos y

Image Key Update (See Online Help): (selecc

Load File: Indique la ubicación de imagekey.cnavegar a la ubicación del archivo, seleccione Open .

CLI

1. Si fuese necesario, inicie el servidor TFTP.

2. Establezca una conexión de consola, Telnet o SSH al dispositivo NetScreen

3. Ejecute el siguiente comando CLI:

save image-key tftp ip_addr imagekey.cer

donde ip_addr es la dirección del servidor TFTP.

http://www.fastsum.com


448

mprobar la firma de ScreenOS tes:

el cargador de arranque/SO

rechaza y o bien le pide cargar

ataques DIa Deep Inspection (DI), el a incrustada en el archivo. El

ataques descargada y efectúa

to flash.

en el registro de eventos:

.

n no intenta autenticar un minar el certificado, ejecute el


Autenticación de firmware de ScreenOSLa descarga del dispositivo NetScreen utiliza el certificado de autenticación para coincrustada en el archivo. En la consola aparecerá uno de los dos resultados siguien

• El dispositivo NetScreen puede autenticar con éxito el firmware, por lo que muestra el mensaje siguiente:

Loaded Successfully! . . .

Image authenticated!

• Si el dispositivo NetScreen no puede autenticar el firmware de ScreenOS, lootro firmware, o se reinicia automáticamente:

********Invalid DSA signature

*******Bogus Image - not authenticated.

Autenticación de un archivo de base de datos de objetos deLa próxima vez que intente descargar una base de datos de objetos de ataques pardispositivo NetScreen utilizará el certificado de autenticación para comprobar la firmproceso de autenticación produce uno de los dos resultados siguientes:

• El dispositivo NetScreen autentica con éxito la base de datos de objetos dela siguiente entrada en el registro de eventos:

Attack database version <number> has been authenticated and saved

• La autenticación falla y el dispositivo NetScreen efectúa la entrada siguiente

Attack database was rejected because the authentication check failed

Nota: Si el certificado de autenticación no se carga, el dispositivo NetScreefirmware de ScreenOS ni base de datos de objetos de ataques DI. Para elicomando delete crypto auth-key .


449

ebUI y la autenticación falla,

able to verify its integrity.

n no intenta autenticar una inar el certificado, ejecute el

el manual NetScreen Message


Además, si intenta descargar la base de datos manualmente a través de Waparecerá el siguiente mensaje emergente:

Rejected DI attack database because the authentication check was un

Nota: Si el certificado de autenticación no se carga, el dispositivo NetScreeimagen de ScreenOS ni base de datos de objetos de ataques DI. Para elimcomando delete crypto auth-key .

Para obtener información sobre mensajes del registro de eventos, consulteLog Reference Guide.

Capítulo 8 Parámetros del sistema Descarga y carga de configuraciones

450

ad de los ajustes. WebUI espaldo. Con algunos jeta flash o servidor TFTP. Si spositivo NetScreen.

ina 453

456

para la distribución masiva de

ipo.

haga clic en Save .


DESCARGA Y CARGA DE CONFIGURACIONESCada vez que se modifique la configuración, conviene realizar una copia de seguridpermite descargar la configuración a cualquier directorio local como precaución de rdispositivos NetScreen, puede utilizar CLI para descargar la configuración a una tarnecesita restablecer la configuración de respaldo guardada, puede cargarla en el di

La sección contiene los siguientes apartados:

• “Almacenamiento e importación de ajustes” en la pàgina 450

• “Retroactivación (“rollback”) de una configuración” en la pàgina 452

– “Última configuración correcta conocida” en la pàgina 452

– “Retroactivación automática y manual de una configuración” en la pàg

– “Carga de un nuevo archivo de configuración” en la pàgina 454

• “Bloqueo del archivo de configuración” en la pàgina 455

– “Inclusión de comentarios en un archivo de configuración” en la pàgina

Almacenamiento e importación de ajustesLa capacidad de guardar e importar ajustes de configuración proporciona los mediosplantillas de configuración.

Para guardar una configuración:

WebUI

1. Configuration > Update > Config File: Haga clic en Save to File .

Un mensaje del sistema le pedirá que abra el archivo o lo guarde en su equ

2. Haga clic en Save .

3. Navegue a la ubicación donde desea guardar el archivo de configuración y


451

e [ from interface ]

clic en Apply :

ion si desea combinar las Replace Current iguración sobrescriba la

rchivo de configuración o haga ivo, seleccione el archivo y

sh [ merge [ from


CLI

save config from flash to { tftp dir_ip | slot } filenam

Para importar una configuración:

WebUI

Configuration > Update > Config File: Introduzca los siguientes datos y haga

Seleccione Merge to Current Configuratconfiguraciones nuevas con las actuales, oConfiguration si desea que la nueva confconfiguración actual.

> New Configuration File: Introduzca la ubicación del aclic en Browse para navegar a la ubicación del archhaga clic en Open .

CLI

save config from { tftp ip_addr | slot } filename to flainterface ] ]

Nota: En algunos dispositivos NetScreen, debe especificar slot1 o slot2.

Nota: En algunos dispositivos NetScreen, debe especificar slot1 o slot2.


452

fallos del dispositivo NetScreen r una retroactivación de la onfiguración correcta conocida,

chivo de configuración de LKG er en caso de error. Para do get config rollback . El nifica que no existe y que debe

ción correcta conocida (LKG):

recta.

CLI save config to ente en la memoria flash con el

ciones. Para consultar si su te a su plataforma.

hivo de configuración LKG es ner una copia actualizada de la


Retroactivación (“rollback”) de una configuraciónEn caso de haber cargado un archivo de configuración que cause problemas, como o denegación de las funciones de administración a usuarios remotos, puede realizaconfiguración para recuperar el archivo con la última (“Last-Known-Good” o “LKG”) cguardada en la memoria flash.

Última configuración correcta conocidaAntes de retroactivar (“rollback”) una configuración, asegúrese de disponer de un arguardado en la memoria flash, para que el dispositivo NetScreen lo pueda restableccomprobar la existencia del archivo LKG, abra CLI de NetScreen y escriba el comannombre de archivo de una configuración LKG es $lkg$.cfg. Si no ve este archivo, sigcrearlo.

Para guardar un archivo de configuración en la memoria flash como última configura

1. Asegúrese de que la configuración actual del dispositivo NetScreen sea cor

2. Guarde la configuración actual en la memoria flash ejecutando el comando last-known-good . Este comando sobrescribe la configuración de LKG existarchivo de configuración actual.

Nota: No todos los dispositivos NetScreen permiten la retroactivación de configuradispositivo NetScreen admite esta función, consulte la hoja de datos correspondien

Nota: Guardar periódicamente la configuración del dispositivo NetScreen como arcuna buena manera de salvaguardar los cambios más recientes realizados y manteconfiguración.


453

onfiguración correcta conocida ón automática de la so de producirse algún

. Incluso se desactiva después o. Para habilitar la ack enable . Para desactivar la

c config rollback .

comando cambia para indicar

e comandos simplemente

habilitada, utilice el comando get config rollback es:


Retroactivación automática y manual de una configuraciónPuede habilitar que el dispositivo NetScreen restablezca automáticamente la última c(LKG), o bien puede realizar una retroactivación manual. La función de retroactivaciconfiguración permite al dispositivo NetScreen recuperar la configuración LKG en caproblema con una configuración recién cargada.

La función de retroactivación automática está desactivada de forma predeterminadade cada arranque, sin importar si estaba habilitada o no antes de iniciar el dispositivretroactivación automática de la configuración, utilice el comando exec config rollbfunción, utilice el comando exec config rollback disable .

Para realizar una retroactivación manual de la configuración, utilice el comando exe

Una vez habilitada la función de retroactivación de la configuración, el mensaje del este estado:

ns-> exec config rollback enable

ns(rollback enabled)->

Al desactivar la función de retroactivación de la configuración, el mensaje de línea ddevuelve el nombre de host del dispositivo:

ns(rollback enabled)-> exec config rollback disable

ns->

Para comprobar si la función de retroactivación automática de la configuración está get config rollback . Si está habilitada, la primera línea de mensajes del comando

config rollback is enabled

De lo contrario, la primera línea de la salida es:

config rollback is disabled

Nota: WebUI no admite la función de retroactivación de la configuración.


454

get config rollback es:

flash.

ajes es:

t.

r la operación de

función de retroactivación y

G (última correcta conocida)

een ejecutando el comando eamente el archivo LKG ir una retroactivación en

más información, consulte

den producirse varias

nzar y administrar el enderlo, el dispositivo n de retroactivación de creen a cargar


Si existe un archivo de configuración LKG, la segunda línea de mensaje del comando

Last-known-good config file flash:/$lkg$.cfg exists in the

Si no existe ningún archivo de configuración LKG, la segunda (y última) línea de mens

Last-known-good config file flash:/$lkg$.cfg does not exis

Si la función de retroactivación de la configuración está habilitada, puede desencadenaretroactivación mediante cualquiera de las acciones siguientes:

• Reiniciar el dispositivo NetScreen (apagándolo y encendiéndolo de nuevo)

• Restablecer el dispositivo NetScreen (ejecutando el comando reset )

• Ejecutar el comando exec config rollback

Carga de un nuevo archivo de configuraciónA continuación se describe cómo cargar un nuevo archivo de configuración, habilitar laqué hacer si el nuevo archivo de configuración causa problemas.

1. Utilizando la interfaz CLI, guarde la configuración actual como configuración LKejecutando el comando save config to last-known-good.

2. Habilite la retroactivación automática de configuración en el dispositivo NetScrCLI exec config rollback enable. Al habilitar esta función se bloquea simultánpara evitar que otros usuarios lo puedan sobrescribir y de este modo interrumpcurso.

3. Cargue el nuevo archivo de configuración usando WebUI o CLI. Para obtener “Actualización o degradación de firmware” en la pàgina 423.

4. Pruebe el nuevo archivo de configuración ejecutando algunos comandos. Puesituaciones diferentes:

– La nueva configuración funciona correctamente.

– La nueva configuración es defectuosa y, consecuentemente, impide alcadispositivo NetScreen. En este caso, deberá apagar el dispositivo. Al encNetScreen lee el archivo de la memoria flash, lo cual indica que la funcióconfiguración está habilitada. Esa información induce al dispositivo NetSautomáticamente el archivo LKG.


455

figuración. En este caso es CLI reset. Cuando el que la función de e al dispositivo NetScreen a

creen funcione correctamente. uando el dispositivo se reinicia, oactivación de configuración ar automáticamente el archivo

sobrescrito por otros ento de bloquear el archivo de ecibe un comando CLI en un nfiguración que fue bloqueada de iniciar la importación de un indefinido si se produce algún

r conectado al dispositivo (por esbloquear la configuración y

a/activa, si la carga de un en a la configuración LKG. En nfiguración, sólo la unidad la unidad de respaldo después

interfaz de línea de comandos


– Surgen problemas o errores relacionados con el nuevo archivo de connecesario restablecer el dispositivo NetScreen ejecutando el comandodispositivo se reinicia, lee el archivo de la memoria flash, lo cual indicaretroactivación de configuración está habilitada. Esa información induccargar automáticamente el archivo LKG.

– La nueva configuración es defectuosa e impide que el dispositivo NetSEn este caso, el dispositivo NetScreen se reinicia automáticamente. Clee el archivo de la memoria flash, lo cual indica que la función de retrestá habilitada. Esa información induce al dispositivo NetScreen a cargLKG.

Bloqueo del archivo de configuraciónPuede bloquear un archivo de configuración en la memoria flash para evitar que seaadministradores, o antes de importar un nuevo archivo de configuración. En el momconfiguración, el dispositivo inicia un temporizador de bloqueo. Si el dispositivo no rplazo previamente especificado, se reinicia automáticamente y vuelve a utilizar la coen la memoria flash. Conviene bloquear la configuración actual del dispositivo antesarchivo de configuración. Esta acción evita que el dispositivo se “congele” por tiempofallo en el proceso de importación.

Una vez bloqueado el archivo de configuración, ni usted ni ningún otro administradoejemplo, a través de Telnet o de WebUI) podrán guardar el archivo. Antes deberá dguardar los nuevos comandos de configuración con el comando save .

Nota: NetScreen Redundancy Protocol (NSRP): En una configuración activnuevo archivo de configuración falla, ambos dispositivos NetScreen reviertuna configuración activa/pasiva, si falla la carga de un nuevo archivo de comaestra revierte a la configuración LKG. La unidad maestra sólo sincronizade que la configuración se haya guardado en un archivo.

Nota: El archivo de configuración sólo se puede bloquear y desbloquear mediante la(“CLI”). Esta característica no está disponible en WebUI.


456

nfiguración previamente

pueden ocupar su propia línea # (almohadilla) seguido de un luirse un espacio delante de la ea combinando la nueva nte por la nueva), el dispositivo hadilla y elimina todos los

almohadilla en la memoria ntiene las líneas siguientes:

s

n no lo trata como marcador ispositivo NetScreen no elimina rece entrecomillado.


CLI

Para bloquear el archivo de configuración:

exec config lock start

Para desbloquear el archivo:

exec config lock end

Para cancelar el bloqueo y reiniciar inmediatamente el dispositivo con la cobloqueada en la memoria flash:

exec config lock abort

Para cambiar el tiempo de bloqueo predeterminado (5 minutos):

set config lock timeout <number>

Inclusión de comentarios en un archivo de configuraciónPuede agregar comentarios a un archivo de configuración externo. Los comentariosde texto o incluirse al final de una línea. El comentario debe comenzar con el signo espacio. Cuando el comentario se encuentra al final de una línea, también debe incalmohadilla. En el momento de guardar el archivo en un dispositivo NetScreen (ya sconfiguración con la existente o reemplazando íntegramente la configuración existeanaliza la configuración buscando las líneas que comiencen con el símbolo de almocomentarios.

El dispositivo NetScreen no guarda ningún comentario introducido con el símbolo deRAM ni en la memoria flash. Por ejemplo, si un archivo de configuración externo co

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24 # change IP addres

Nota: Si el símbolo de almohadilla aparece entrecomillado, el dispositivo NetScreeespecial, sino como parte de un nombre de objeto y no lo elimina. Por ejemplo, el d“#5 server” en el comando set address trust “#5 server” 10.1.1.5/32 porque apa


457

ask 255.255.255.255ask 255.255.255.255ask 255.255.255.255dominio de rutas

entarios habrán

ask 255.255.255.255ask 255.255.255.255ask 255.255.255.255

n de consola o de Telnet, el n los comandos.


# agregar direcciones IPset interface ethernet3 mip 1.1.1.10 host 10.1.1.10 netmset interface ethernet3 mip 1.1.1.11 host 10.1.1.11 netmset interface ethernet3 mip 1.1.1.12 host 10.1.1.12 netm# la opción predeterminada es que todas las MIP usen el

trust-vr

Al visualizar la configuración después de cargar el archivo, verá lo siguiente (los comdesaparecido):

set interface ethernet3 zone untrustset interface ethernet3 ip 1.1.1.1/24set interface ethernet3 mip 1.1.1.10 host 10.1.1.10 netmset interface ethernet3 mip 1.1.1.11 host 10.1.1.11 netmset interface ethernet3 mip 1.1.1.12 host 10.1.1.12 netm

Asimismo, si pega un bloque de comandos que contenga comentarios en una sesiódispositivo NetScreen descartará todos los comentarios tan pronto como se ejecute

Capítulo 8 Parámetros del sistema Establecer Bulk-CLI de NetScreen-Security Manager

458

tivación cuando la conexión de ando esto sucede, el agente

a averiguar si puede establecer ntes de reiniciar el dispositivo

reinicio es de 60 a 86400 gundos.

o dos condiciones:

llo al NetScreen-Security

Manager.

un informe del error al s posibilidades para las

dos CLI y reinicia.

ndos CLI.

cificado para el reinicio, el ctivado o desactivado.

ontinúa ejecutando los

uiente:


ESTABLECER BULK-CLI DE NETSCREEN-SECURITY MANAGEREstableciendo bulk-CLI se determina cómo y cuándo el dispositivo realiza la retroacNetScreen-Security Manager se interrumpe durante una sesión de actualización. Curecorre una vez todos los servidores NetScreen-Security Manager configurados parotra conexión. En caso negativo, el agente espera durante el período especificado apara retroactivar la configuración. El rango de valores del tiempo de espera para el segundos. El valor predeterminado del tiempo de espera para el reinicio es de 60 se

El agente comprueba el estado de la conexión del NetScreen-Security Manager baj

• Que todos los comandos CLI se ejecuten y envíen un mensaje de éxito o faManager.

• Que se produzca un error, que debe ser comunicado al NetScreen-Security

Si se produce un error durante la ejecución de CLI, el agente envía un mensaje conNetScreen-Security Manager y permanece a la espera de instrucciones. Existen treinstrucciones de error:

• Si se ordena al agente detenerse, éste deja de ejecutar los restantes coman

• Si se ordena al agente que continúe, seguirá ejecutando los restantes coma

• Si el agente no recibe ninguna instrucción dentro del tiempo de espera espeagente comprueba si el tiempo de espera para el reinicio de bulk-CLI está a

– Si está activado, se produce inmediatamente un reinicio.

– Si está desactivado, el agente no reinicia el dispositivo. El dispositivo crestantes comandos CLI.

Para establecer el valor del tiempo de espera para el reinicio, utilice el comando sig

set nsmgmt bulkcli reboot_timeout numberdonde el valor unitario de number son los segundos.

Para desactivar el tiempo de espera para el reinicio, utilice el comando siguiente:

set nsmgmt bulkcli reboot_timeout disable

Capítulo 8 Parámetros del sistema Claves de licencia

459

tivo NetScreen sin tener que sbloquee las características

s habilitadas y puede admitir la Para obtener más información ntación comercial más reciente

ió el dispositivo NetScreen o

ué característica desea.


CLAVES DE LICENCIALa característica de la clave de licencia permite ampliar las prestaciones del disposiactualizar a otro dispositivo o imagen del sistema. Puede comprar una clave que deespecificadas ya cargadas en el firmware, como:

• Capacidad de usuarios

• Sistemas virtuales, zonas y enrutadores virtuales

• HA

Cada dispositivo NetScreen se suministra con un conjunto estándar de característicaactivación de características opcionales o aumentar la capacidad de las existentes. sobre qué características pueden actualizarse en este momento, consulte la documede Juniper Networks.

El procedimiento para obtener y aplicar una clave de licencia es el siguiente:

1. Póngase en contacto con el distribuidor de valor añadido (VAR) que le venddirectamente con Juniper Networks.

2. Proporcione el número de serie de su dispositivo e indique qué opción de q

Se generará su clave de licencia, que recibirá por correo electrónico.

3. Introduzca la clave con WebUI o CLI. (Consulte el ejemplo siguiente).

Capítulo 8 Parámetros del sistema Claves de licencia

460

ra 10 usuarios ha crecido hasta Screen amplía las capacidades ios. El número de la clave de 10002.txt”, guardado en

Apply :

screen\keys, seleccione


Ejemplo: Ampliar la capacidad de usuariosUna pequeña empresa que sólo utiliza un dispositivo NetScreen con una licencia pael punto de necesitar una licencia sin limitación de usuarios. El administrador de Netdel dispositivo obteniendo una clave de firmware para un número ilimitado de usuarlicencia es 6a48e726ca050192 y se encuentra en un archivo de texto llamado “A20“C:\netscreen\keys”.

WebUI

Configuration > Update > ScreenOS/Keys: Haga lo siguiente y luego clic en

License Key Update: (seleccione)

Load File: C:\netscreen\keys\A2010002.txt

o bien

Haga clic en Browse y navegue hasta C:\netA2010002.txt y haga clic en Open .

CLI

exec license-key capacity 6a48e726ca050192reset

Capítulo 8 Parámetros del sistema Registro y activación de los servicios de suscripción

461

gular de suscripción para una suscripción al servicio, a suscripción, sus servicios se rma u otra dependiendo de los

periodo de gracia temporal.

el servicio DI temporalmente, ow en la página Configuration

lida para un solo día.

la compra, tendrá preinstalado

Esta característica no tiene un

ible después de adquirir su


REGISTRO Y ACTIVACIÓN DE LOS SERVICIOS DE SUSCRIPCIÓNPara que su dispositivo NetScreen de Juniper Networks pueda recibir un servicio repatrones AV (antivirus), firmas DI (Deep Inspection) o filtros de URLs, debe adquirirregistrarse en él y descargar la clave de suscripción. En el momento de descargar lactivan en el dispositivo. El proceso de activación de servicios se comporta de una foservicios adquiridos y del método de compra.

Servicio temporalPara darle tiempo a probar los servicios AV o DI, el dispositivo NetScreen otorga unDurante este tiempo, el dispositivo puede obtener servicios temporalmente.

• Ningún dispositivo NetScreen se suministra con DI habilitado. Para obtenerdebe iniciar una sesión de WebUI y hacer clic en Retrieve Subscriptions N> Update > ScreenOS/Keys. De este modo obtendrá una clave DI única, vá

• Si su dispositivo se suministra con el servicio AV incluido en el momento deun servicio temporal. Este servicio temporal dura hasta 60 días.

• Ningún dispositivo NetScreen se suministra con el filtrado de URL activado.servicio temporal.

Aviso! Para evitar la interrupción del servicio, debe registrarse lo antes possuscripción. El registro asegura la continuidad de la suscripción.


462

ositivo nuevoLs y DI ya incorporados, realice

r instrucciones, consulte la guía .

ión temporal preinstalada, lo suscripción completa debe

aneras:

la página Configuration >

nte:

e firma de forma automática o en para estos servicios, y “Deep Inspection” en la


Paquete de AV, filtrado de URLs y DI incluido con un dispSi ha comprado un nuevo dispositivo NetScreen con los servicios AV, filtrado de URlos pasos siguientes para activarlos.

1. Configure el dispositivo para que pueda conectarse a Internet. (Para obteneGetting Started Guide y el manual de usuario de su dispositivo NetScreen)

2. Registre el dispositivo en el sitio siguiente:

www.juniper.net/support

Los dispositivos con servicios AV incluidos se suministran con una suscripcque permite utilizar el servicio inmediatamente. Sin embargo, para recibir suregistrar el dispositivo.

3. Descargue la clave de suscripción en el dispositivo. Puede hacerlo de dos m

– En WebUI, haga clic en el botón Retrieve Subscriptions Now desdeUpdate > ScreenOS/Keys.

– Con la interfaz de línea de comandos (CLI), ejecute el comando siguie

exec license-key update4. Debe restablecer (“reset”) el dispositivo después de cargar la clave.

Ahora puede configurar el dispositivo para que realice la descarga de los servicios dmanual. Para obtener instrucciones sobre la configuración de su dispositivo NetScreconsulte “Análisis antivirus” en la pàgina 4 -86, “Filtrado de URL” en la pàgina 4 -111pàgina 4 -135.

http://www.netscreen.com/cso


463

o existentesu dispositivo NetScreen,

eo electrónico, directamente de te certificado es un documento o.

vaya al sitio siguiente:

ado de URLs, prosiga con el

sta cuatro horas para que el

eras:


nte:

e firma de forma automática o en para estos servicios, y “Deep Inspection” en la


Actualización de AV, filtrado de URLs y DI en un dispositivSi adquiere los servicios AV, filtrado de URLs y DI por separado para instalarlos en realice los pasos siguientes para activarlos.

1. Después de solicitar los servicios, recibirá un certificado de soporte por corrJuniper Networks o de uno de sus distribuidores NetScreen autorizados. Eslegible que contiene la información que necesita para registrar su dispositiv

2. Cerciórese de que el dispositivo esté registrado. Si aún no está registrado,


3. Registre el certificado de soporte para el dispositivo.

4. Si solamente se está suscribiendo y registrando para el servicio DI o de filtrpaso 5.

Si se está suscribiendo y registrando para el servicio AV, deberá esperar hasistema procese su registro antes de proseguir con el paso 5.

5. Confirme que su dispositivo puede conectarse a Internet.

6. Descargue la clave de suscripción al dispositivo. Puede hacerlo de dos man




Ahora puede configurar el dispositivo para que realice la descarga de los servicios dmanual. Para obtener instrucciones sobre la configuración de su dispositivo NetScreconsulte “Análisis antivirus” en la pàgina 4 -86, “Filtrado de URL” en la pàgina 4 -111pàgina 4 -135.



464

de este servicio, realice los

electrónico, directamente de te certificado es un documento o.

vaya al sitio siguiente:

aneras:


nte:

e firma DI de forma automática reen para este servicio,


Sólo actualización de DISi solamente adquirió servicios DI y compró su dispositivo NetScreen por separadopasos siguientes para activar el servicio.

1. Después de solicitar el servicio, recibirá un certificado de soporte por correoJuniper Networks o de uno de sus distribuidores NetScreen autorizados. Eslegible que contiene la información que necesita para registrar su dispositiv

2. Cerciórese de que el dispositivo esté registrado. Si aún no está registrado,


3. Registre el certificado de soporte para el dispositivo.

4. Confirme que su dispositivo puede conectarse a Internet.

5. Descargue la clave de suscripción en el dispositivo. Puede hacerlo de dos m




Ahora puede configurar el dispositivo para que realice la descarga de los servicios do manual. Para obtener instrucciones sobre la configuración de su dispositivo NetScconsulte “Deep Inspection” en la pàgina 4 -135.


Capítulo 8 Parámetros del sistema Reloj del sistema

465

as cosas, la hora de su ción de programaciones. Hay ra. Primero, debe poner el reloj (“daylight saving time”) y itivo NetScreen utilizará para

. A través de WebUI, esta ra:

o de verano en el reloj de su

orario de verano o invierno, o

nte el comando “set clock

raso de la hora local del Greenwich). Por ejemplo, si el

ic Standard Time” o “PST”), j en -8.


RELOJ DEL SISTEMAEs importante que su dispositivo NetScreen siempre tenga la hora exacta. Entre otrdispositivo NetScreen afecta a la configuración de los túneles VPN y a la sincronizamuchas maneras de asegurarse de que el dispositivo NetScreen siempre esté en hodel sistema en hora. A continuación, puede habilitar la opción del horario de veranoconfigurar hasta tres servidores NTP (uno principal y dos de respaldo) que el disposactualizar periódicamente su reloj del sistema.

Fecha y horaPara poner el reloj en hora con la fecha y hora actuales, puede utilizar WebUI o CLIoperación se efectúa sincronizando el reloj del sistema con el reloj de su computado

1. Configuration > Date/Time: Haga clic en el botón Sync Clock with Client .

Aparecerá un mensaje preguntándole si tiene habilitada la opción del horaricomputadora.

2. Haga clic en Yes para sincronizar el reloj del sistema y ajustarlo según el hbien en No para sincronizarlo sin el ajuste de horario de verano.

Con CLI, el reloj se pone en hora manualmente introduciendo la fecha y hora mediamm/dd/yyyy hh:mm:ss”.

Huso horarioEl huso horario se establece especificando el número de horas de adelanto o de retdispositivo NetScreen con respecto a GMT (“Greenwich Mean Time”, hora media dehuso horario local del dispositivo NetScreen es la hora estándar del Pacífico (“Paciftendrá un retraso de 8 horas con respecto a GMT. Por lo tanto, deberá poner el relo

Para establecer el huso horario mediante WebUI:

Configuration > Date/Time > Set Time Zone_hours_minutes from GMT


466

ede utilizar el protocolo de hora de un servidor NTP a través de que realice esta sincronización

r principal y dos servidores de sistema de forma automática, as otro. El dispositivo siempre spositivo consulta a válida de alguno de los lización y registrar el fallo, el

CLI, pudiendo especificarse un etScreen solamente consultará ultará, uno por uno, a cada r NTP utilizando su dirección IP


Para establecer el huso horario mediante CLI:

ns -> set clock timezone number (número entre -12 y 12)

o bien

ns -> set ntp timezone number (número entre -12 y 12)

NTPPara asegurarse de que el dispositivo NetScreen siempre tenga la hora correcta, pude red (“Network Time Protocol” o “NTP”) para sincronizar el reloj del sistema con el Internet. Puede hacer esto manualmente o configurar el dispositivo NetScreen paraautomáticamente a intervalos determinados.

Múltiples servidores NTPPuede configurar hasta tres servidores NTP en un dispositivo NetScreen: un servidorespaldo. Cuando se configura el dispositivo NetScreen para sincronizar el reloj del efectúa una consulta en cada servidor NTP configurado, consultando los tres uno trconsulta primero al servidor NTP principal. Si la consulta no obtiene respuesta, el diseguidamente al primer servidor NTP de respaldo, etc., hasta obtener una respuestservidores NTP configurados en el dispositivo NetScreen. Antes de finalizar la actuadispositivo realiza cuatro intentos en cada servidor NTP.

La sincronización manual del reloj del sistema solamente se puede hacer mediante servidor NTP determinado o ninguno. Si especifica un servidor NTP, el dispositivo Na ese servidor. Si no especifica ningún servidor NTP, el dispositivo NetScreen consservidor NTP configurado en el dispositivo NetScreen. Puede especificar un servidoo su nombre de dominio.


467

(en segundos). El valor ma del dispositivo NetScreen y loj con la hora del servidor NTP desfase establecido. Por del sistema del dispositivo son bos es aceptable y el establecido, el dispositivo P de respaldo configurado en

ida después de intentar el registro de eventos. El valor dos es de 0 (sin límite) a 3600

nte CLI, el dispositivo respuesta válida, el dispositivo fase horario existente con él y

cancele la actualización del

ento de tiempo de espera. Este alcanzar a todos los servidores

ndo Ctrl-C en el teclado.


Desfase temporal máximoPara la sincronización automática se puede especificar un valor máximo de desfasemáximo de desfase es la máxima diferencia horaria admisible entre el reloj del sistela hora recibida de un servidor NTP. El dispositivo NetScreen solamente ajusta su resi la diferencia horaria entre su reloj y el servidor NTP es inferior al valor máximo deejemplo, si el valor máximo de desfase horario es de 3 segundos, la hora en el relojlas 4:00:00 y el servidor NTP envía 4:00:02 como hora actual, la diferencia entre amdispositivo NetScreen puede actualizar su reloj. Si el desfase es superior al máximoNetScreen no sincroniza su reloj y procede a intentar consultar al primer servidor NTel dispositivo NetScreen. Si el dispositivo NetScreen no recibe una contestación válconsultar a todos los servidores NTP configurados, genera un mensaje de error en predeterminado de esta característica son 3 segundos y el rango de valores permiti(una hora).

Al sincronizar manualmente el reloj del sistema, lo cual solamente es posible mediaNetScreen no comprueba el desfase horario máximo. En lugar de ello, si recibe unaNetScreen muestra un mensaje informando sobre el servidor NTP alcanzado, el desel método de autenticación utilizado. El mensaje también pide que se confirme o sereloj del sistema.

Si el dispositivo NetScreen no recibe una respuesta, genera un mensaje de vencimimensaje aparece solamente después de que el dispositivo haya intentado sin éxito NTP configurados en el dispositivo NetScreen.

Nota: Al enviar consultas mediante CLI, puede cancelar la petición actual presiona


468

RP”) contiene un mecanismo unidad de resolución de

que diferentes miembros de un o al retraso ocasionado por el e NSRP cuando NTP esté el sistema desde un servidor

ente comando:

rio máximo a intervalos de cinco minutos bién establecerá un valor

pply :

e Server (NTP): (seleccione)


Protocolos NTP y NSRPEl protocolo de redundancia de NetScreen (“NetScreen Redundancy Protocol” o “NSpara sincronizar el reloj del sistema de los miembros de un clúster NSRP. Aunque lasincronización es el segundo, NTP ofrece una resolución inferior al segundo. Dado clúster pueden tener horas distintas con variaciones de unos pocos segundos debidprocesamiento, Juniper Networks recomienda desactivar la sincronización horaria dhabilitado en dos miembros del clúster, para que ambos puedan actualizar su reloj dNTP. Para desactivar la función de sincronización horaria NSRP, introduzca el sigui

set ntp no-ha-sync

Ejemplo: Configurar servidores NTP y un valor de desfase horaEn el ejemplo siguiente configurará el dispositivo NetScreen para actualizar su relojconsultando los servidores NTP de las direcciones IP 1.1.1.1, 1.1.1.2 y 1.1.1.3. Tammáximo de desfase horario de 2 segundos.

WebUI

Configuration > Date/Time: Introduzca los siguientes datos y haga clic en A

Automatically synchronize with an Internet Tim

Update system clock every minutes: 5

Maximum time adjustment seconds: 2

Primary Server IP/Name: 1.1.1.1

Backup Server1 IP/Name: 1.1.1.2

Backup Server2 IP/Name: 1.1.1.3

CLI

set clock ntpset ntp server 1.1.1.1


469

para autenticar los paquetes tegridad del tráfico NTP. No ueda manipularlos.

ve y una clave previamente La identificación de clave y la la que el dispositivo NetScreen

erida (“required” y “preferred”).

debe incluir la información de quete que envía a un servidor TP. Para poder establecer la tradores del dispositivo de clave y una clave

que disponen de varios

debe funcionar como si Si todos los intentos de hubiese seleccionado ninguna clave ni suma de ticación, si ésta falla el


set ntp server backup1 1.1.1.2set ntp server backup2 1.1.1.3set ntp interval 5set ntp max-adjustment 2save

Servidores NTP segurosPuede asegurar el tráfico NTP aplicando la suma de comprobación basada en MD5NTP. No es necesario crear un túnel IPSec. Este tipo de autenticación asegura la inimpide a los interlocutores externos ver los datos, pero evita que cualquier usuario p

Para habilitar la autenticación del tráfico NTP, debe asignar una identificación de clacompartida únicas a cada servidor NTP que configure en un dispositivo NetScreen. clave previamente compartida sirven para generar una suma de comprobación con y el servidor NTP pueden autenticar los datos.

Tipos de autenticación

Existen dos tipos de autenticación para el tráfico NTP: la requerida y la pref

Cuando se selecciona la autenticación Required , el dispositivo NetScreen autenticación (identificación de clave y suma de comprobación) en cada paNTP y debe autenticar todos los paquetes NTP que recibe de un servidor Nautenticación entre un dispositivo NetScreen y un servidor NTP, los adminisNetScreen y del servidor NTP deben intercambiar primero una identificaciónpreviamente compartida. Tienen que intercambiarlas manualmente, para lométodos, por ejemplo, correo electrónico o teléfono.

Al seleccionar la autenticación Preferred , el dispositivo NetScreen primeroestuviese en el modo “Required”, intentando autenticar todo el tráfico NTP. autenticación fallan, el dispositivo NetScreen pasa a funcionar como si no seautenticación. Envía paquetes a un servidor NTP sin incluir identificación decomprobación. Esencialmente, aunque existe cierta preferencia por la autendispositivo NetScreen sigue permitiendo el tráfico NTP.


470

Índice

IX-I

s 3732, 138, 411te de retransmisión 388t 388397idor 388io 463, 464327e DS Codepoint Marking, 278–282untos 321os 297–300ificar un conjunto de DIP 281 279to fijo 280esición 315irectivas 315das en la libreta de direcciones 144das 69icas 68es IPir por cada puerto 144tificación de la red 68tificación del host 68das 67icas 67os de direcciones privadas 69ndarias 75imiento en interfaces 84s de seguridad L3 67–69es IP secundarias 75es privadas 69es públicas 68es, negación 351 3nes 317

inistración 329inistrar ancho de banda 360as 326

ación 318


ÍndiceAalarmas

umbrales 326ALG 206

MS RPC 163para servicios personalizados 318RTSP 169SIP 200SIP NAT 215Sun RPC 160

alta disponibilidadvéase HA

ancho de banda 327administrar 360colas de prioridades 367especificación máxima 360garantizado 327, 360, 368máximo 327, 368máximo ilimitado 360niveles de prioridad 368prioridad predeterminada 367

aplicación en directivas 318ARP 112

dirección IP de entrada 115asignación de tráfico 359–373

automática 360prioridades del servicio 367requisito de la interfaz 360

autenticaciónAllow Any 324directivas 321usuarios 321

autenticación en tiempo de ejecución 323AV, servicio 463

Bbulk-CLI 458

Ccertificado de autenticación 445–449

resumen del mensaje MD5 447certificado de soporte 463, 464claves de licencia 459–460CLI

convenciones xdelete crypto auth-key 449set arp always-on-dest 99, 104

configuraciónbloquear 455carga 454descargar y cargar 450guardar 450guardar e importar 450inclusión de comentarios 456LKG 452retroactivación 452–454, 455salvaguardar 450

configuración LKG 452conjuntos de caracteres compatibles con

ScreenOS xivConjuntos de direcciones IP

véase Conjuntos de DIPConjuntos de direcciones IP dinámicas

véase Conjuntos de DIPconvenciones

CLI xilustración xiiinombres xivWebUI xi

creargrupos de direcciones 148grupos de servicios 275zonas 37

DDeep Inspection

autenticación de descargas 445–449

definiciónzona

DHCP 1agenclienHA serv

DI, servicDiffServ

véasDIP 136

conjgrupmodPATpuer

direcciondefinen dentraprivapúbl

direcciondefinidenidenprivapúblrangsecuseguzona

direcciondirecciondirecciondirecciondirectivas

accioadmadmalarmaplic

Índice

IX-II

er (equipos selectores) 181e colas de prioridades 367e historial 325

e direcciones 146, 315r 148r 149

inar entradas 150ones 147e servicios 274–277r 275inar 277ificar 276

P 397faz de HA virtual 58e también NSRPgráficos 325ario 465

ición 329tiva 329nenciones xiii

sas físicamente 81as lógicamente 81gadas 56iar a zonas 66bios de estado 81–106sociar de una zona 70278ción IP secundaria 75cionamiento 67s 3

57irtual 58

tivas físicamente 81tivas lógicamente 81back 77


asignación de tráfico 327autenticación 321cambiar 355colocar al principio 320, 357contexto de una directiva 348copia de seguridad de la sesión HA 324Deep Inspection 320denegar 317desactivar 355direcciones 315direcciones en 315elementos requeridos 307eliminar 358funciones de 305global 310, 331, 347grupos de DIP 298grupos de direcciones 315grupos de servicios 274grupos de usuarios de acceso telefónico a

VPN 315habilitar 355iconos 329ID 315interzonales 308, 331, 332, 337intrazonales 309, 331, 344L2TP 319libro de servicios 151límite máximo 147listas de conjuntos de directivas 311múltiples elementos por componente 349NAT-dst 321NAT-src 321negación de direcciones 351nombre 318ocultación 356orden 357permit 317rechazo 317recuento 325registro de tráfico 325reglas internas 312reordenar 357secuencia de consulta 311servicios 316servicios en 151, 316sistema raíz 312

sistemas virtuales 312tareas programadas 326tipos 308–310túnel 317túneles L2TP 319ubicación 331verificación de directivas 356VPNs 319VPNs bidireccionales 319, 330zonas de seguridad 315

directivas de accesovéase directivas

directivas ocultadas 356DNS 377

consulta 378consultas de dominios 385división de direcciones 386división de direcciones DNS del proxy 385DNS dinámico 382encapsulamiento a servidores 385servidor 413tabla de estado 379

DS Codepoint Marking 360, 369, 370DSL 407, 412dyndns.org y ddo.jp 382

Eeditar

directivas 355grupos de direcciones 149zonas 38

enrutadores virtualesvéase VRs

enrutamientoentre direcciones IP secundarias 75

Ffiltrado de URL 325firmware

autenticación 445–448flujo de paquetes 12–15

Ggatekeepgestión dgráficos dgrupos d

creaeditaelimopci

grupos dcreaelimmod

HHA

DHCintervéas

historial, huso hor

Iiconos

defindirec

ilustracióconv

interfaceactivactivagreasoccamdesaDIP direcdirecfísicaHA HA vinacinacloop

Índice

IX-III

56–469iguración del servidor 468ase horario máximo 467iples servidores 466idores 466idores seguros 469onización NSRP 468 de autenticación 469

guja 208 “unicast” desconocidas 112–118 115–118dación 113–114-route 115, 118

11–422disponibilidad 422iguración 411, 416iples instancias 419iples sesiones por interfaz 417

idad del servicio) 360

325o de banda 360

325erivadas de directivas 312istema 465–469

a y hora 465 horario 465onización con cliente 465ación 458ación, configuración 452–454

, “Type of Service in the Internet Protocol Suite” 327


MGT 57modificar 71predeterminadas 69redundantes 56Seguimiento de IP (Véase seguimiento de IP)supervisión de la conexión 83túnel 35, 58, 58–63visualizar tabla de interfaces 64VSI 56zonas de seguridad L3 67

interfaces agregadas 56interfaces de túnel 58

definición 58NAT basada en directivas 58

interfaces de zonas de función 57interfaz de administración 57interfaz de HA 57

interfaces loopback 77interfaces no etiquetadas 418interfaz de administración

véase interfaz MGTinterfaz HA virtual 58ISP - proveedor de servicios de Internet 385

LL2TP

directivas 319libreta de direcciones

agregar direcciones 144editar entradas de grupos 149eliminar direcciones 150entradas 144grupos 146modificar direcciones 145véase también direcciones

libro de serviciosagregar servicio 154eliminar entradas (CLI) 155grupos de servicios (WebUI) 274modificar entradas (CLI) 155modificar entradas (WebUI) 276servicio personalizado 151servicio personalizado (CLI) 154servicios preconfigurados 151

LKG (última correcta conocida) 452

Mmáscaras de red 315

aplicaciones 68MGT, interfaz 57MIP 14

a una zona con NAT basada en interfaces 129modo de ruta 135–140

ajustes de interfaz 136modo NAT 127–134

ajustes de interfaz 130tráfico a la zona Untrust 107, 129

modo transparente 108–126ARP/trace-route 113bloquear tráfico que no es ARP 110bloquear tráfico que no es IP 110inundación 113opciones unicast 113rutas 111tráfico broadcast 110

modos de puertos 41–52MS RPC ALG

definición 163grupos de servicios 167servicios 164

NNAT basada en directivas

interfaces de túnel 58NAT-src

modo de rutaNAT-src 135

negación de direcciones 351NetInfo 389nombres

convenciones xivNSM

bulk-CLI 458tiempo de espera para el reinicio 458

NSRPcopia de seguridad de la sesión HA 324DHCP 397grupos de DIP 297–300interfaces redundantes 56retroactivación de la configuración 455sincronización NTP 468

VSIsNTP 466

confdesfmúltservservsincrtipos

Oojos de aopciones

ARPinuntrace

PPAT 279PPPoE 4

alta confmúltmúlt

QQoS (cal

Rrecuentored, anchregistro reglas, dreloj del s

fechhusosincr

retroactivretroactivRFCs

1349

Índice

IX-IV

nes multimedia 200po de espera por inactividad de la sesión 211po de espera por inactividad de medios 211, 213po de espera por inactividad de señalización 211, 213 de métodos de petición 201

VPN de malla completa 263iguración de llamadas 215, 223ición 215nte, con MIP 232, 236

y en DMZ 247y en zona privada 239y en zona pública 243 intrazonal 259st intrazonal 253

ar DIP de interfaz 228ar DIP entrante 226ar un conjunto de DIP 232de nombres de dominioe DNSirtual 11parámetros 375–469reloj 465–469e también reloj del sistema

alizar 423aces 4r (sistema raíz) 73inar 74 ALGición 160

icios 161estos de llamadas 160ón de interfaceses 92faces 91–98s de seguridad 98

onesación del servicio 463, 464arga de claves 463tro y activación 461–464icio temporal 461icios incluidos 462


1918, “Address Allocation for Private Internets” 69

2132, “DHCP Options and BOOTP Vendor Extensions” 396

2326, “Real Time Streaming Protocol (RTSP)” 169, 174

2474, “Definition of the “Differentiated Services” Field (DS Field) in the IPv4 and IPv6 Headers” 327

792, “Internet Control Message Protocol” 158RSH ALG 160RTSP ALG

códigos de estado 173definición 169métodos de petición 171servidor en dominio privado 175servidor en dominio público 178

SSCREEN

zona MGT 34ScreenOS

actualizar 423directivas 3flujo de paquetes 12–15interfaces de la zona de seguridad 3interfaces físicas 3modos de puertos 41sistemas virtuales 11subinterfaces 4vista general 1–30zona de seguridad global 2zona global 34zona Home-Work 49zonas 31–40zonas de función 40zonas de seguridad 2, 34zonas de seguridad predefinidas 2zonas de túnel 35

SDP 206–208seguimiento de IP

fallo en la interfaz de entrada 103–106fallo en la interfaz de salida 100–102

interfaces compartidas 85interfaces compatibles 85opción “dynamic” 86peso 86redireccionamiento de tráfico 84–106umbral de fallos de la IP supervisada 86umbral de fallos del objeto 86vsys 85

Servicio AV 462Servicio de DI 462servicios 151

ALGs personalizados 318definición 316direcciones 146en directivas 316ICMP 158lista desplegable 151modificar el tiempo de espera 157personalizado en vsys 153personalizados 153–155servicios 274umbral del tiempo de espera 156

servicios ICMP 158código de mensaje 158tipo de mensaje 158

servicios personalizados 153–155en root y vsys 153

Servidor de filtrado de URLs 462sesiones multimedia, SIP 200SIP 200–213

ALG 206, 211anuncios de medios 208caducidad por inactividad 211códigos de respuesta 204definición 200información de la conexión 207mensajes 200Métodos de petición 201ojos de aguja 206respuestas 204RTCP 208RTP 208SDP 206–208señalización 206

sesiotiem

tiem

tiem

tiposSIP NAT

con confdefinentraproxproxproxtrustuntruutilizutilizutiliz

Sistema véas

sistema vsistema, sistema,

véassoftware

actusubinterf

creaelim

Sun RPCdefinservsupu

supervisibuclinterzona

suscripciactivdescregisservserv

Índice

IX-V

enciones xi

e 49N 109

rk 49–40

ión 40al 34r 2 109ridad 34l 35N 40, 109 seguridad 2rminación de la zona de destino 14rminación de la zona de origen 13al 2faces 3, 55faces físicas 55efinidas 2nterfaces 55


Ttareas programadas 301, 326tiempo 458trace-route 115, 118traducción de direcciones de puertos

véase PATtráfico

asignación 360prioridad 327recuento 325registro 325

Uúltima configuración correcta conocida

véase configuración LKGURL, servicio de filtrado 463usuarios de autenticación

autenticación en tiempo de ejecución 323autenticación previa a la directiva 323proceso de autenticación en tiempo de

ejecución 323WebAuth 323

Vvalor del tiempo de espera para el reinicio 458VIP 14

a una zona con NAT basada en interfaces 129VLAN1

Interfaz 109, 119Zonas 109

VLANsetiquetas 4

voz sobre IPadministración del ancho de banda 271definición 181

VPNsa una zona con NAT basada en interfaces 129directivas 319zonas de túnel 35

VRsintroducción 5reenviar tráfico entre dos 5

WWebAuth

proceso de autenticación previo a directivas 323

WebUIconv

Zzona Homzona VLAzona Wozonas 31

funcglobLayesegutúneVLA

zonas dedetedeteglobinterinterpredsubi

Índice

IX-VI

Documents

CE_v2_SP