Juniper Networks NetScreen

NetScreen conceptos y ejemplosreenOS

o

ScreenOS 5.1.0

Ref. 093-1367-000-SP

Revisin BManual de referencia de Sc

Volumen 6: Enrutamient

compliance of Class B devices: The enerates and may radiate radio-frequency nce with NetScreens installation e with radio and television reception. This d to comply with the limits for a Class B specifications in part 15 of the FCC rules. provide reasonable protection against allation. However, there is no guarantee rticular installation. interference to radio or television y turning the equipment off and on, the e interference by one or more of the

ing antenna.

en the equipment and receiver.

ienced radio/TV technician for help.

utlet on a circuit different from that to d.

o this product could void the user's device.

ITED WARRANTY FOR THE ET FORTH IN THE INFORMATION PRODUCT AND ARE INCORPORATED OU ARE UNABLE TO LOCATE THE

WARRANTY, CONTACT YOUR OR A COPY.Copyright Notice

Copyright 2004 Juniper Networks, Inc. All rights reserved.

Juniper Networks, the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen, and the NetScreen logo are registered trademarks of Juniper Networks, Inc. NetScreen-5GT, NetScreen-5XP, NetScreen-5XT, NetScreen-25, NetScreen-50, NetScreen-100, NetScreen-204, NetScreen-208, NetScreen-500, NetScreen-5200, NetScreen-5400, NetScreen-Global PRO, NetScreen-Global PRO Express, NetScreen-Remote Security Client, NetScreen-Remote VPN Client, NetScreen-IDP 10, NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC, GigaScreen-II ASIC, and NetScreen ScreenOS are trademarks of Juniper Networks, Inc. All other trademarks and registered trademarks are the property of their respective companies.

Information in this document is subject to change without notice.

No part of this document may be reproduced or transmitted in any form or by any means, electronic or mechanical, for any purpose, without receiving written permission from:

Juniper Networks, Inc.

ATTN: General Counsel

1194 N. Mathilda Ave.

Sunnyvale, CA 94089-1206

FCC StatementThe following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.

The following information is for FCC equipment described in this manual genergy. If it is not installed in accordainstructions, it may cause interferencequipment has been tested and foundigital device in accordance with the These specifications are designed tosuch interference in a residential instthat interference will not occur in a paIf this equipment does cause harmfulreception, which can be determined buser is encouraged to try to correct thfollowing measures:

Reorient or relocate the receiv

Increase the separation betwe

Consult the dealer or an exper

Connect the equipment to an owhich the receiver is connecte

Caution: Changes or modifications twarranty and authority to operate this

DisclaimerTHE SOFTWARE LICENSE AND LIMACCOMPANYING PRODUCT ARE SPACKET THAT SHIPPED WITH THEHEREIN BY THIS REFERENCE. IF YSOFTWARE LICENSE OR LIMITEDNETSCREEN REPRESENTATIVE F

Contenido

i

uales .................................21

e los dispositivos NetScreen..23rutadores virtuales ..................... 23

ntre enrutadores virtuales .......... 24

s enrutadores virtuales.............. 24in de una zona al untrust-vr.... 25

personalizados ......................... 27n de un enrutador virtual ................................................... 27cin de un enrutador virtual ................................................... 28

y sistemas virtuales ................... 29n de un enrutador virtual ................................................... 30rtir rutas entre enrutadores ................................................... 32

adores virtuales.....................33al............................................... 34in de una ID de enrutador

................................................... 35

entradas de la tabla de ................................................... 36in de las entradas de la tabla .................................................. 36

..............................................37................................................... 37cimiento de una preferencia ................................................... 38

................................................... 39Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

ContenidoPrefacio ....................................................................... vii

Convenciones ..........................................................viiiConvenciones de la interfaz de lnea de comandos (CLI) .....................................................viii

Convenciones de la interfaz grfica (WebUI) .............. ix

Convenciones para las ilustraciones........................... xi

Convenciones de nomenclatura y conjuntos de caracteres ...................................................................xii

Documentacin de NetScreen de Juniper Networks ................................................. xiii

Captulo 1 Tablas de enrutamiento y enrutamiento esttico..........................................................................1

Fundamentos del enrutamiento .................................2Mtodos de enrutamiento............................................2

Enrutamiento esttico.............................................2Enrutamiento dinmico..........................................3Enrutamiento multicast ...........................................3

Tablas de enrutamiento................................................4

Enrutamiento con rutas estticas..................................6

Enrutadores virtuales de los dispositivos NetScreen....8

Cundo configurar rutas estticas.............................9

Configuracin de rutas estticas .............................11Ejemplo: Rutas estticas.......................................12Ejemplo: Ruta para una interfaz de tnel.............16

Reenvo de trfico a la interfaz nula ..........................18

Rutas permanentemente activas ...............................19

Captulo 2 Enrutadores virt

Enrutadores virtuales dUtilizacin de dos en

Reenvo de trfico e

Configuracin de doEjemplo: Asociac

Enrutadores virtualesEjemplo: Creacipersonalizado ...Ejemplo: Eliminapersonalizado ...

Enrutadores virtualesEjemplo: Creacien un vsys .........Ejemplo: Compavirtuales.............

Modificacin de enrutID del enrutador virtu

Ejemplo: Asignacvirtual ................

Nmero mximo de enrutamiento...........

Ejemplo: Limitacde enrutamiento

Seleccin de rutas .....Preferencia de ruta .

Ejemplo: Establede ruta ..............

Mtrica de ruta .......

Contenido

ii

utadores..................................... 70

................................................... 71

................................................... 71n ................................................ 71unto........................................... 72ultipunto ................................... 72

tado de conexiones .................. 72

de OSPF ................................74tancia de enrutamiento ................................................... 75n de una instancia ................................................... 75cin de una instancia ................................................... 76

a OSPF ....................................... 77n de un rea OSPF ................... 78

aces a un rea OSPF ................. 79in de interfaces a reas......... 79racin de un rango de reas... 80

en interfaces............................ 81cin de OSPF en interfaces....... 81tar OSPF en una interfaz ............ 82

configuracin ......................... 83

s.............................................86bucin de rutas en OSPF............ 86

distribuidas ................................ 87n de rutas redistribuidas ........... 87ucles creados por las ................................................... 88

e OSPF ..................................89cin de la ruta .................................................. 90Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Tablas de enrutamiento ...........................................40Enrutamiento segn el origen.....................................40

Ejemplo: Enrutamiento segn el origen................42

Enrutamiento segn la interfaz de origen...................44Ejemplo: Enrutamiento segn la interfaz de origen .............................................................45

Secuencia de consulta de rutas ................................46Ejemplo: Cambiar el orden de las consultas de rutas ................................................................49

Consulta de rutas en mltiples enrutadores virtuales.......................................................................50

Enrutamiento de rutas mltiples de igual coste .......52Activacin del enrutamiento de rutas mltiples de igual coste ............................................................54

Ejemplo: Configurar el mximo de rutas ECMP....54

Redistribucin de rutas.............................................55Configuracin de un mapa de rutas .........................56

Filtrado de rutas..........................................................58

Listas de acceso.........................................................58Ejemplo: Configuracin de una lista de acceso............................................................59Ejemplo: Redistribucin de rutas en OSPF ............60

Exportacin e importacin de rutas entre enrutadores virtuales ................................................62

Ejemplo: Configuracin de una regla de exportacin ....................................................63Ejemplo: Configuracin de la exportacin automtica ..........................................................65

Captulo 3 Protocolo OSPF..........................................67

Introduccin al protocolo OSPF ...............................69reas...........................................................................69

Clasificacin de enr

Protocolo de saludo

Tipos de redes.........Redes de difusiRedes punto a pRedes punto a m

Notificaciones de es

Configuracin bsicaCreacin de una insde OSPF...................

Ejemplo: Creacide OSPF ............Ejemplo: Eliminade OSPF ............

Definicin de un reEjemplo: Creaci

Asignacin de interfEjemplo: AsignacEjemplo: Configu

Habilitacin de OSPFEjemplo: HabilitaEjemplo: Inhabili

Comprobacin de la

Redistribucin de rutaEjemplo: Redistri

Resumen de rutas reEjemplo: ResumeEjemplo: Evitar brutas resumidas .

Parmetros globales dEjemplo: Notificapredeterminada

Contenido

iii

formacin ........................................115

olo RIP.................................117

de RIP .................................118tancia RIP ................................ 119n de una instancia RIP ........... 119cin de una instancia RIP ........ 120

n interfaces ............................. 121cin de RIP en interfaces ........ 121

itacin de RIP ................................................. 122

as............................................. 122bucin de rutas en RIP............. 123

rmacin de RIP ..................124ase de datos RIP ..................... 124ar los detalles en la base ................................................. 124

detalles de protocolo RIP......... 127ar los detalles de protocolo RIP127

rmacin de vecino RIP ............ 128ar los detalles de los ................................................. 128

detalles de protocolo RIP ................................................. 129ar RIP en una a ............................................. 129

e RIP ...................................130ta predeterminada.................. 132cin de la ruta ................................................ 132

RIP......................................133e parmetros de interfaz RIP .. 134Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Conexiones virtuales...................................................92Ejemplo: Creacin de una conexin virtual ........93Ejemplo: Creacin de una conexin virtual automtica ..........................................................95

Parmetros de interfaz OSPF ....................................96Ejemplo: Ajuste de parmetros de interfaz OSPF ...................................................98

Configuracin de seguridad....................................99Autenticacin de vecinos...........................................99

Ejemplo: Configuracin de una contrasea de texto no cifrado ..............................................99Ejemplo: Configuracin de una contrasea MD5.................................................100

Filtrado de vecinos OSPF ..........................................101Ejemplo: Configuracin de una lista de vecinos..........................................................101

Rechazo de rutas predeterminadas.........................102Ejemplo: Eliminacin de la ruta predeterminada.................................................102

Proteccin contra inundaciones ..............................103Ejemplo: Configuracin de un lmite de saludo ...........................................................103Ejemplo: Configuracin de un lmite de LSAs.....104

Circuitos de demanda en interfaces de tnel .......105Ejemplo: Crear un circuito de demanda OSPF.............................................105Ejemplo: Habilitar la inundacin reducida ........106

Interfaz de tnel punto a multipunto ......................107Establecer el tipo de conexin.................................107

Ejemplo: Establecer el tipo de conexin OSPF...107Ejemplo: Inhabilitar la restriccin Route-Deny....108Ejemplo: Red punto a multipunto.......................108

Captulo 4 Protocolo de inde enrutamiento (RIP) ........

Introduccin al protoc

Configuracin bsicaCreacin de una ins

Ejemplo: CreaciEjemplo: Elimina

Habilitacin de RIP eEjemplo: HabilitaEjemplo: Inhabilen una interfaz..

Redistribucin de rutEjemplo: Redistri

Visualizacin de la infoVisualizacin de la b

Ejemplo: Visualizde datos RIP......

Visualizacin de los Ejemplo: Visualiz

Visualizacin de infoEjemplo: Visualizvecinos RIP........

Visualizacin de los de una interfaz........

Ejemplo: Visualizinterfaz especfic

Parmetros globales dNotificacin de la ru

Ejemplo: Notificapredeterminada

Parmetros de interfazEjemplo: Ajuste d

Contenido

iv

uerta de enlace ........................................159

olo BGP ...............................160GP ............................................ 161

................................................. 161

o............................................... 162

de BGP................................163in de una instancia de BGP .. 164n de una instancia BGP ......... 164cin de una instancia ................................................. 165

en interfaces ........................... 166cin de BGP en interfaces ...... 166tacin de BGP en interfaces.... 166

interlocutor BGP ..................... 167racin de un

................................................. 170racin de un grupo IBGP........................................ 171

configuracin BGP ................ 173

uridad..................................175cinos ........................................ 175racin de la

D5............................................ 175

edeterminadas ........................ 176o de rutas predeterminadas ... 176

nales de BGP .....................177as............................................. 179bucin de rutas en BGP ........... 180

ath .......................................... 180racin de una lista

................................................. 181Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Configuracin de seguridad..................................135

Autenticacin de vecinos.........................................135

Ejemplo: Configuracin de una contrasea MD5.................................................136

Filtrado de vecinos RIP..............................................137

Ejemplo: Configuracin de vecinos fiables .......137

Rechazo de rutas predeterminadas.........................138

Ejemplo: Rechazo de rutas predeterminadas....138

Proteccin contra inundaciones ..............................139

Ejemplo: Configuracin de un umbral de actualizacin .....................................................139

Ejemplo: Habilitacin de RIP en interfaces de tnel ..............................................................140

Configuraciones opcionales de RIP .......................142

Versin de protocolo RIP...........................................142

Ejemplo: Ajustar las versiones de protocolo RIP.................................................142

Resumen de prefijos .................................................144

Ejemplo: Habilitar el resumen de prefijos ...........144

Ejemplo: Inhabilitar el resumen de prefijos ........145

Rutas alternativas......................................................146

Ejemplo: Ajuste de rutas alternativas..................147

Circuitos de demanda en interfaces de tnel .........148

Ejemplo: Configuracin de un circuito de demanda......................................................149

Configuracin de un vecino esttico.......................150

Ejemplo: Configuracin de un vecino esttico ..............................................................150

Interfaz de tnel punto a multipunto ......................151

Ejemplo: Punto a multipunto con circuitos de demanda...........................................................151

Captulo 5 Protocolo de pde lmite (BGP) ...................

Introduccin al protocTipos de mensajes B

Atributos de ruta......

BGP externo e intern

Configuracin bsicaCreacin y habilitac

Ejemplo: CreaciEjemplo: Eliminade BGP..............

Habilitacin de BGP Ejemplo: HabilitaEjemplo: Inhabili

Configuracin de unEjemplo: Configuinterlocutor BGPEjemplo: Configude interlocutores

Comprobacin de la

Configuracin de segAutenticacin de ve

Ejemplo: Configuautenticacin M

Rechazo de rutas prEjemplo: Rechaz

Configuraciones opcioRedistribucin de rut

Ejemplo: Redistri

Lista de acceso AS-pEjemplo: Configude acceso ........

Contenido

v

............................................208

........................................211

............................................212................................................. 214

t ............................................... 215

etScreen..............................216................................................. 216r IGMP en una interfaz............. 216

itacin de IGMP en ................................................. 217

la seguridad ............................ 217rar una lista de accesos ptados .................................... 218

a de IGMP ............................... 219racin bsica de IGMP .......... 219

nfiguracin de IGMP............... 222

os de IGMP............................... 224

............................................226s de miembros en sentido ia el origen.............................. 226ulticast en sentido

los receptores .......................... 227

roxy de IGMP ........................... 229

terfaces .................................... 229e IGMP en interfaces ............... 230

irectiva multicast ...................... 232a de grupo multicast ................................................. 232racin bsica de Proxy

................................................. 233

e IGMP.................................... 245el remitente de IGMP............... 246Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Adicin de rutas a BGP.............................................182Ejemplo: Notificacin de ruta condicional ........183Ejemplo: Establecer el peso de la ruta ..............184Ejemplo: Establecer atributos de ruta ................185

Reflexin de rutas .....................................................186Ejemplo: Configuracin de la reflexin de rutas ..............................................................187

Confederaciones .....................................................189Ejemplo: Configurar una confederacin ...........190

Comunidades BGP ...................................................192

Agregacin de rutas.................................................193Ejemplo: Agregar rutas con diferentes AS-Paths..............................................................193Ejemplos: Suprimir las rutas ms especficas en actualizaciones ..................................................194Ejemplo: Seleccionar rutas para el atributo Path.......................................................196Ejemplo: Cambiar atributos de la ruta agregada ...................................................198

Captulo 6 Enrutamiento multicast............................199

Introduccin al enrutamiento multicast .................200Direcciones multicast ...............................................200

Reenvo por rutas inversas ........................................201

Enrutamiento multicast en dispositivos NetScreen..202Tabla de enrutamiento multicast..............................202

Rutas multicast estticas...........................................204Ejemplo: Configuracin de una ruta multicast esttica ...............................................204

Listas de acceso.......................................................205

Encapsulado de enrutamiento genrico .................205Ejemplo: Configuracin de interfaces de tnel GRE ......................................................207

Directivas multicast.....

Captulo 7 IGMP ...............

Introduccin a IGMP ..Hosts ........................

Enrutadores multicas

IGMP en dispositivos NIGMP en interfaces..

Ejemplo: HabilitaEjemplo: Inhabiluna interfaz .......

Aspectos relativos a Ejemplo: Configupara grupos ace

Configuracin bsicEjemplo: Configu

Verificacin de la co

Parmetros operativ

Proxy de IGMP ............Envo de informeascendente hacEnvo de datos mdescendente a

Configuracin del p

Proxy de IGMP en inEjemplo: Proxy d

Creacin de u na dEjemplo: Directivpara IGMP.........Ejemplo: Configude IGMP............

Proxy del remitente dEjemplo: Proxy d

Contenido

vi

configuracin......................278

............................................282

................................................. 282

n RP esttico ........................... 283

................................................. 284

n RP candidato ....................... 284

seguridad ..........................286

s multicast ............................... 286

ir grupos multicast................... 286

ulticast ..................................... 288

ir orgenes multicast................ 288

................................................. 289

ir RP......................................... 289

faz PIM-SM ...........................291

................................................. 291

una directiva vecina................ 292

................................................. 293

un lmite bootstrap ................... 293

............................................294

RP proxy ................................. 297

racin del RP proxy ................ 298

............................................311

............................................312

os NetScreen........................... 312

......................................... IX-IJuniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Captulo 8 PIM ..........................................................253

Introduccin al protocolo PIM................................255

PIM-SM....................................................................256

rboles de distribucin multicast ..............................258

Enrutador designado................................................259

Asignacin de puntos de encuentro a grupos.........259

Asignacin de RP esttico..................................259

Asignacin de RP dinmico ...............................259

Reenvo de trfico a travs del rbol de distribucin..........................................................260

El origen enva datos a un grupo.......................260

El host se une a un grupo...................................262

PIM-SM en dispositivos NetScreen ..........................264

Creacin de una instancia PIM-SM ..........................265

Ejemplo: Habilitar una instancia PIM-SM en un enrutador virtual .................................................265

Ejemplo: Quitar una instancia PIM-SM................266

PIM-SM en interfaces ................................................267

Ejemplo: PIM-SM en una interfaz ........................267

Ejemplo: Inhabilitar PIM-SM en una interfaz .......268

Directivas de grupo multicast ...................................269

Mensajes Static-RP-BSR .......................................269

Mensajes Join-Prune...........................................269

Ejemplo: Directiva de grupo multicast para PIM-SM .......................................................270

Configuracin PIM-SM bsica................................271

Ejemplo: Configuracin PIM-SM bsica .............272

Comprobacin de la

Configuracin de RPs.

RP esttico...............

Ejemplo: Crear u

RP candidato ..........

Ejemplo: Crear u

Aspectos relativos a la

Restriccin de grupo

Ejemplo: Restring

Restringir orgenes m

Ejemplo: Restring

Restriccin de RPs ...

Ejemplo: Restring

Parmetros de la inter

Directiva vecina......

Ejemplo: Definir

Lmite bootstrap.......

Ejemplo: Definir

RP Proxy ......................

Configuracin de un

Ejemplo: Configu

PIM-SM e IGMPv3........

PIM-SSM ......................

PIM-SSM en dispositiv

ndice ................................

vii

s sistemas y dispositivos de biar informacin de protocolos de uso habitual y los de enrutamiento dinmico en la tabla de enrutamiento mtodo eficiente para reenviar itir trfico, como secuencias de

ar rutas estticas para el

mo redistribuir las entradas de

positivos NetScreen: OSPF ormation Protocol, protocolo de e puerta de enlace de lmite) multicast estticasment Protocol (IGMP), Protocol lticast - Source Specific Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Prefacio

El enrutamiento es una parte fundamental de los dispositivos de seguridad como loNetScreen. El enrutamiento dinmico permite a los dispositivos NetScreen intercamenrutamiento con enrutadores y otros dispositivos de red mediante la utilizacin de tablas de enrutamiento que se crean y se actualizan automticamente. Los protocoreducen mucho el intervalo entre los cambios en la topologa de la red y los ajustesporque estos se realizan automticamente. El enrutamiento multicast proporciona untrfico a mltiples hosts. Las empresas utilizan el enrutamiento multicast para transmdatos o vdeo, desde un origen a un grupo de receptores simultneamente. El Volumen 6, Enrutamiento, describe lo siguiente:

Fundamentos del enrutamiento, incluyendo tablas de rutas y cmo configurenrutamiento basado en destinos o el enrutamiento basado en orgenes

Cmo configurar los enrutadores virtuales en los dispositivos NetScreen y cla tabla de enrutamiento entre protocolos o entre enrutadores virtuales

Cmo configurar los siguientes protocolos de enrutamiento dinmico en dis(Open Shortest Path First, abrir primero la ruta ms corta), RIP (Routing Infinformacin de enrutamiento) y BGP (Border Gateway Protocol, protocolo d

Fundamentos del enrutamiento multicast, incluyendo cmo configurar rutas Cmo configurar los protocolos multicast siguientes: Internet Group Manage

Independent Multicast - Sparse Mode (PIM-SM) y Protocol Independent MuMulticast (PIM-SSM)

Prefacio Convenciones

viii

guientes secciones:

)s de la interfaz de lnea de

por barras verticales ( | ).

manage, ethernet2 o ethernet3.

vo en el caso de las variables, ra visualizar el nmero de serie

permitan al sistema reconocer te escribir set adm u joe . Aunque este mtodo se se representan con sus Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

CONVENCIONESEste documento contiene distintos tipos de convenciones, que se explican en las si

Convenciones de la interfaz de lnea de comandos (CLI) Convenciones de la interfaz grfica (WebUI) en la pgina ix Convenciones para las ilustraciones en la pgina xi Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii

Convenciones de la interfaz de lnea de comandos (CLILas siguientes convenciones se utilizan para representar la sintaxis de los comandocomandos (CLI):

Los comandos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o ms opciones alternativas, aparecern separadas entre s

Por ejemplo:set interface { ethernet1 | ethernet2 | ethernet3 }

significa establecer las opciones de administracin de la interfaz ethernet1 Las variables aparecen en cursiva. Por ejemplo:

set admin user name passwordLos comandos CLI insertados en el contexto de una frase aparecen en negrita (salque siempre aparecen en cursiva ). Por ejemplo: Utilice el comando get system pade un dispositivo NetScreen.

Nota: Para escribir palabras clave, basta con introducir los primeros caracteres quede forma inequvoca la palabra que se est introduciendo. Por ejemplo, es suficienj12fmt54 para que el sistema reconozca el comando set admin user joe j12fmt54puede utilizar para introducir comandos, en la presente documentacin todos ellos palabras completas.


ix

de la WebUI por las que se uadro de dilogo de > New . A continuacin se

libretas de direcciones. New.e dilogo de configuracin .

4Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Convenciones de la interfaz grfica (WebUI)En este manual se utiliza la comilla angular ( > ) para indicar las rutas de navegacin pasa al hacer clic en opciones de men y vnculos. Por ejemplo, la ruta para abrir el cconfiguracin de direcciones se representa como sigue: Objects > Addresses > Listmuestra la secuencia de navegacin.

1. Haga clic en Objects en la columna de men.La opcin de men Objects se desplegar para mostrar las opciones subordinadas que contiene.

2. (Men Applet) Site el mouse sobre Addresses.(Men DHTML) Haga clic en Addresses.La opcin de men Addresses se desplegar para mostrar las opciones subordinadas que contiene.

3. Haga clic en List.Aparecer la tabla de

4. Haga clic en el vnculoAparecer el cuadro dde nuevas direcciones

1

2

3


x

e dilogo apropiado, donde de cada tarea se divide en dos conjunto de instrucciones configuracin que se deben

lic en OK :

Nota: En este ejemplo, no hay instrucciones para el campo Comment, por lo que se deja en blanco.Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro dpodr definir objetos y establecer parmetros de ajuste. El conjunto de instruccionespartes: la ruta de navegacin y los datos de configuracin. Por ejemplo, el siguienteincluye la ruta al cuadro de dilogo de configuracin de direcciones y los ajustes derealizar:

Objects > Addresses > List > New: Introduzca los siguientes datos y haga cAddress Name: addr_1IP Address/Domain Name:

IP/Netmask: (seleccione), 10.2.2.5/32Zone: Untrust

Zone: Untrust

Haga clic en OK .

Address Name: addr_1

IP Address Name/Domain Name:IP/Netmask: (seleccione), 10.2.2.5/32


xi

ustraciones de este manual:

ed de rea local (LAN) con na nica subredejemplo: 10.1.1.0/24)

nternet

quipo de escritorio

ervidor

ispositivo de red genricoejemplos: servidor NAT, oncentrador de acceso)

quipo porttil

ango de direcciones IP dinmicas DIP)Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Convenciones para las ilustracionesLos siguientes grficos conforman el conjunto bsico de imgenes utilizado en las il

Dispositivo NetScreen genrico

Zona de seguridad

Interfaces de zonas de seguridadBlanca = interfaz de zona protegida (ejemplo: zona Trust)Negra = interfaz de zona externa (ejemplo: zona sin confianza o zona Untrust)

Icono de enrutador (router)

Icono de conmutador (switch)

Dominio de enrutamiento virtual

Tnel VPN

Ru(

I

E

S

D(c

Interfaz de tnel

E

R(


xii

rescomo direcciones, usuarios ales, tneles de VPN y zonas)

n espacio, la ejemplo,

entrecomillada;

or el contrario, en e indistintamente.

ltiples bytes (MBCS). Algunos ntre los conjuntos MBCS,

encuentran el chino, el coreano

in de las comillas dobles ( ), res que contengan espacios.

mite tanto SBCS como MBCS, Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Convenciones de nomenclatura y conjuntos de caracteScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtudefinidas en las configuraciones de ScreenOS.

Si la secuencia de caracteres que conforma un nombre contiene al menos ucadena completa deber entrecomillarse mediante comillas dobles ( ); porset address trust local LAN 10.1.1.0/24 .

NetScreen eliminar cualquier espacio al comienzo o al final de una cadenapor ejemplo, local LAN se transformar en local LAN.

NetScreen tratar varios espacios consecutivos como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; p

muchas palabras clave de la interfaz de lnea de comandos pueden utilizarsPor ejemplo, local LAN es distinto de local lan.

ScreenOS admite los siguientes conjuntos de caracteres: Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de m

ejemplos de SBCS son los juegos de caracteres ASCII, europeo y hebreo. Etambin conocidos como conjuntos de caracteres de doble byte (DBCS), se y el japons.

Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcque tienen un significado especial como delimitadores de cadenas de nomb

Nota: Una conexin de consola slo admite conjuntos SBCS. La WebUI adsegn el conjunto de caracteres que admita el explorador web.

Prefacio Documentacin de NetScreen de Juniper Networks

xiii

r Networks, visite

ase Manager en la pgina web os EE.UU.) o al

n nosotros a travs de la Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

DOCUMENTACIN DE NETSCREEN DE JUNIPER NETWORKSPara obtener documentacin tcnica sobre cualquier producto NetScreen de Junipewww.juniper.net/techpubs/.Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Chttp://www.juniper.net/support/ o llame al telfono 1-888-314-JTAC (si llama desde l+1-408-745-9500 (si llama desde fuera de los EE.UU.).Si encuentra algn error o omisin en esta documentacin, pngase en contacto cosiguiente direccin de correo electrnico:

[email protected]

Prefacio Documentacin de NetScreen de Juniper Networks

xiv Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

11

Captulo 1

to

enOS mantiene una tabla de eneralmente, la tabla de

idas manualmente para definir n una tabla de enrutamiento s multicast, consulte

nrutamiento bsico que realiza n. Contiene las siguientes Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Tablas de enrutamiento y enrutamienesttico

Para que un dispositivo NetScreen pueda reenviar paquetes de una red a otra, Screenrutamiento que contiene entradas para todas las direcciones de red conocidas. Genrutamiento contiene una o ms rutas estticas, que son configuraciones introducrutas a destinos especficos. Adems, los dispositivos NetScreen tambin mantieneindependiente para las rutas multicast. Para obtener informacin acerce de las rutaEnrutamiento multicast en dispositivos NetScreen en la pgina 202.En este captulo se describe la tabla de enrutamiento de ScreenOS, el proceso de eel dispositivo NetScreen y como configurar rutas estticas en dispositivos NetScreesecciones:

Fundamentos del enrutamiento en la pgina 2 Mtodos de enrutamiento en la pgina 2 Tablas de enrutamiento en la pgina 4 Enrutamiento con rutas estticas en la pgina 6

Enrutadores virtuales de los dispositivos NetScreen en la pgina 8 Cundo configurar rutas estticas en la pgina 9 Configuracin de rutas estticas en la pgina 11

Reenvo de trfico a la interfaz nula en la pgina 18 Rutas permanentemente activas en la pgina 19

Captulo 1 Tablas de enrutamiento y enrutamiento esttico Fundamentos del enrutamiento

2

anzan su destino final. Un en incorporan funciones de u destino.

tico, dinmico, y multicast. r manualmente las rutas y

as interconexiones hacia otras rutamiento dinmico para que utamiento dinmico permiten a s en la topologa de la red local red distante. Los protocolos iples receptores

que se puede definir en un n salvo que se modifiquen tivamente estables, suele . ScreenOS mantiene las rutas se puede dar prioridad al Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

FUNDAMENTOS DEL ENRUTAMIENTOEl enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que alcenrutador es el punto de unin de dos redes. Los dispositivos de seguridad NetScreenrutamiento que permiten a ScreenOS reenviar eficazmente el trfico protegido a s

Mtodos de enrutamientoEn los dispositivos NetScreen se pueden configurar tres tipos de enrutamiento: estCuando una red utiliza el enrutamiento esttico, el administrador tiene que configuramantener actualizadas las tablas de enrutamiento en los enrutadores. En redes cuyredes son numerosas o cambian frecuentemente, conviene utilizar protocolos de enlas tablas de enrutamiento se actualicen de forma automtica. Los protocolos de enrlos enrutadores actualizar automticamente sus tablas cuando se producen cambioo cuando algn enrutador vecino comunica que se ha producido un cambio en una multicast habilitan los enrutadores para que reenven trfico desde un origen a mltsimultneamente.

Enrutamiento estticoLas rutas estticas son asignaciones de direcciones IP a una red de salto siguiente1dispositivo de reenvo de capa 3, como un enrutador. Estas asignaciones no cambiamanualmente. En redes cuyas interconexiones hacia otras redes son escasas o relaresultar ms prctico definir rutas estticas que configurar el enrutamiento dinmicoestticas hasta que se eliminan explcitamente. No obstante, cuando sea necesarioenrutamiento dinmico frente al esttico.

1. Un destino de salto siguiente es un enrutador.


3

onibilidad de redes y subredes cin del enrutamiento. Estos ar los cambios necesarios en

aptulo 3, Protocolo OSPF.Captulo 4, Protocolo de

lo 5, Protocolo de puerta de

cias de datos o vdeo, desde un en, y los receptores pueden

mltiples hosts, porque los osts que desean recibirlo. Los o multicast para recibir los te a los receptores interesados

tamiento multicast.Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Enrutamiento dinmicoEn el enrutamiento dinmico, los enrutadores intercambian informacin sobre la dispy ajustan las tablas de enrutamiento analizando los mensajes entrantes de actualizamensajes alimentan la red, ordenando a los enrutadores recalcular las rutas y realizsus tablas de enrutamiento. Para obtener informacin acerca de Open Shortest Path First (OSPF), consulte el CPara obtener informacin acerca de Routing Information Protocol (RIP), consulte el informacin de enrutamiento (RIP).Para obtener informacin sobre Border Gateway Protocol (BGP), consulte el Captuenlace de lmite (BGP).

Enrutamiento multicastLas empresas utilizan el enrutamiento multicast para transmitir trfico, como secuenorigen a un grupo de receptores simultneamente. Cualquier host puede ser un origestar en cualquier punto de Internet.El enrutamiento IP multicast proporciona un mtodo eficiente para reenviar trfico aenrutadores habilitados para multicast transmiten trfico multicast solamente a los hhosts deben sealizar su inters por recibir datos multicast y deben unirse a un grupdatos. Los enrutadores habilitados para multicast reenvian trfico multicast solamenen recibirlo.Para obtener informacin acerca de las rutas multicast, consulte el Captulo 6, Enru


4

irigir el trfico por tales redes. es y direcciones conocidas con sitivo NetScreen, ScreenOS

nduce a la direccin de destino. S, consulte el Volumen 2, a las rutas multicast. Para multicast en la pgina 202.nte ruta, es identificada por la ediante una direccin IP y

radas de la tabla de

ignada a una interfaz en el

ta automticamente una ruta hacia la Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Tablas de enrutamientoNormalmente, los enrutadores estn conectados a varias redes y se encargan de dCada enrutador cuenta con su propia tabla de enrutamiento, que es una lista de redinformacin para llegar a ellas. Cuando se procesa un paquete entrante en un dispoconsulta la tabla de enrutamiento para averiguar cul es la interfaz adecuada que coPara obtener ms informacin sobre la secuencia de flujo de paquetes en ScreenOFundamentos. Los enrutadores tambin mantienen una tabla de enrutamiento parobtener informacin acerca de las rutas multicast, consulte Tabla de enrutamiento Cada entrada de la tabla de enrutamiento, denominada entrada de ruta, o simplemered de destino a la que se puede reenviar el trfico. La red de destino, identificada mmscara de red, puede ser una red IP, una subred, una superred o un host. Las entenrutamiento ScreenOS pueden provenir de los siguientes orgenes:

Redes interconectadas directamente (la red de destino es la direccin IP asmodo de ruta)2

Protocolos de enrutamiento dinmico, como OSPF, BGP o RIP Rutas importadas desde otros enrutadores o enrutadores virtuales Rutas configuradas estticamente

2. Cuando se establece una direccin IP para identificar una interfaz en el modo de ruta, la tabla de enrutamiento conecsubred adyacente para canalizar el trfico que pasa por la interfaz.


5

la red de destino.positivo NetScreen o la ador).

ias rutas hacia la misma red de enor sea el valor de preferencia ruta activa.cada protocolo u origen de ruta. el Volumen 6.

ed xternal type 1

----------------------

ncia Mtrica Vsys

1000

10010100

rootrootrootrootrootrootrootroot

f Mtr VsysJuniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

A continuacin se presenta un ejemplo de una tabla de enrutamiento de ScreenOS:

La tabla de enrutamiento contiene la siguiente informacin de cada red de destino: La interfaz del dispositivo NetScreen a travs del que se reenva el trfico a El siguiente salto (next-hop), que puede ser otro enrutador virtual en el dis

direccin IP de una puerta de enlace (normalmente la direccin de un enrut El protocolo del cual se deriva la ruta. La preferencia se utiliza para seleccionar la ruta a utilizar cuando existen var

destino. Este valor lo determina el protocolo o el origen de la ruta. Cuanto mde una ruta, ms posibilidades existen de que esa ruta se seleccione comoEste valor de preferencia se puede modificar en cada enrutador virtual para Para obtener ms informacin, consulte el captulo Enrutadores virtuales d

C - Connected, S - Static, A - Auto-Exported, I - ImportiB - IBGP, eB - EBGP, R - RIP, O - OSPF, E1 - OSPF eE2 - OSPF external type 2

Total 8 entries

--------------------------------------------------------

Red de destino Interfaz de reenvo de datos Siguiente salto Protocolo Prefere

* 9 0.0.0.0/0* 11 192.168.1.100/32* 10 1.1.0.0/16* 4 10.1.1.1/32* 1 192.168.1.1/32* 5 2.2.0.0/16* 2 10.3.3.0/24* 3 10.2.2.0/24

eth3eth2eth3eth3eth1eth3eth2eth3

10.31.1.110.3.3.10010.31.1.110.2.2.2500.0.0.010.2.2.2500.0.0.00.0.0.0

eBiBeBSCSCC

40250402002000

ID IP-Prefix Interface Gateway P PreRuta

predeterminada


6

o existen varias rutas para la de las rutas conectadas es uede especificar un valor

macin sobre enrutadores 29. direccin de red 0.0.0.0/0), que as en la tabla de enrutamiento.

ontiene la direccin del host de todas las direcciones existentes 3 a la direccin de destino y, a

ue debe reenviar el paquete.a ilustracin, el host 1 de la red nformacin en el encabezado:

stino y a la mscara de red de cada mscara de subred 255.255.255.0 es mbin denominada ruta con la mayor

Host 2

Red CJuniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

La mtrica tambin se puede utilizar para seleccionar la ruta a utilizar cuandmisma red de destino con el mismo valor de preferencia. El valor de mtricasiempre 0. La mtrica predeterminada de las rutas estticas es 1, pero se pdiferente cuando se definen estas rutas.

El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener ms inforvirtuales, consulte Enrutadores virtuales y sistemas virtuales en la pgina

La mayora de las tablas de enrutamiento contienen una ruta predeterminada (con laes una entrada comodn para los paquetes destinados a redes distintas de las definid

Enrutamiento con rutas estticasCuando un host enva paquetes a un host de otra red, cada encabezado de paquete cdestino. Cuando un enrutador recibe un paquete, compara la direccin de destino conen la tabla de enrutamiento. El enrutador selecciona en la tabla la ruta ms especficapartir de la entrada de ruta seleccionada, determina el siguiente salto (next-hop) al qLa ilustracin siguiente representa una red que utiliza el enrutamiento esttico. En estA desea alcanzar el host 2 de la red C, para lo que crea un paquete con la siguiente i

3. La ruta ms especfica se determina aplicando en primer lugar el operador lgico AND bit por bit a la direccin de deentrada existente en la tabla de enrutamiento. Por ejemplo, el AND lgico bit por bit de la direccin IP 10.1.1.1 con la 10.1.1.0. La ruta que tenga el mayor nmero de bits con el valor 1 en la mscara de subred ser la ms especfica (tacoincidencia).

Enrutador X

Host 1

Red A

Enrutador Z

Red B

Enrutador Y

IPORIG

Host 1 Host 2 Carga de datos

IPDEST


7

d C con la puerta de enlace do al host 2 de la red C,

miento y detecta que la ltima a entrada de ruta se especifica nrutador Y recibe el paquete y, e la interfaz conectada a esa

red C deja de estar disponible, vs del enrutador Z, no est de la ruta alternativa.

erta de lace

rutador X

nectada

nectadaJuniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

A continuacin, se representa la tabla de enrutamiento de cada enrutador.

En el ejemplo anterior, el enrutador X tiene configurada una ruta esttica hacia la re(siguiente salto) como enrutador Y. Cuando el enrutador X recibe el paquete destinacompara la direccin de destino del paquete con el contenido de su tabla de enrutaentrada corresponde a la ruta ms especfica para la direccin de destino. En la ltimque el trfico destinado a la red C debe enviarse al enrutador Y para su entrega. El ecomo conoce que la red C est conectada directamente, enva el paquete a travs dred.

Tenga en cuenta que si el enrutador Y falla o si la conexin entre el enrutador Y y lael paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la red C a traconfigurada de forma esttica en el enrutador X, por lo que ste no tiene constancia

Tablas de enrutamientoEnrutador X Enrutador Y Enrutador Z

Red Puerta de enlace

Red Puerta de enlace

Red Puen

Red A Conectada Red A Enrutador X Red A En

Red B Conectada Red B Conectada Red B Co

Red C Enrutador Y Red C Conectada Red C Co

Captulo 1 Tablas de enrutamiento y enrutamiento esttico Enrutadores virtuales de los dispositivos NetScreen

8

virtuales. Los enrutadores cast que se pueden activar de n dos enrutadores virtuales

d predefinidas y todas las

ridad.izados. Dividiendo la lar qu informacin de un iento. Por ejemplo, se puede d corporativa en el enrutador de la red corporativa en el otro nrutamiento de un enrutador e puede mantener aislada de procedente de zonas de un l aunque existan directivas que ico de datos, deber exportar otro como siguiente salto

nalizados, utilizar dos o ms bre enrutadores virtuales, Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREENScreenOS puede dividir su componente de enrutamiento en dos o ms enrutadoresvirtuales admiten protocolos de enrutamiento esttico y dinmico, y protocolos multiforma simultnea en un solo enrutador virtual. Los dispositivos NetScreen incorporapredefinidos:

trust-vr, que de forma predeterminada contiene todas las zonas de seguridazonas definidas por el usuario.

untrust-vr, que de forma predeterminada no contiene ninguna zona de seguAlgunos dispositivos NetScreen permiten crear otros enrutadores virtuales personalinformacin de enrutamiento en dos (o ms) enrutadores virtuales, se puede controdeterminado dominio de enrutamiento ser visible desde otros dominios de enrutammantener la informacin de enrutamiento de todas las zonas de seguridad de una revirtual predefinido trust-vr, y la informacin de enrutamiento de todas las zonas fueraenrutador virtual predefinido untrust-vr. Gracias a que la informacin de la tabla de evirtual no es visible desde el otro, la informacin de enrutamiento de la red interna sfuentes no fiables situadas fuera de la empresa. Esto tambin significa que el trficoenrutador virtual no se reenva automticamente a las zonas de otro enrutador virtuapermitan el trfico. Si desea que dos enrutadores virtuales puedan intercambiar trflas rutas entre esos VR o configurar una ruta esttica en uno de ellos que defina al (next-hop).Este captulo no contiene informacin sobre cmo crear enrutadores virtuales persoenrutadores virtuales ni exportar rutas entre ellos. Para obtener ms informacin soconsulte Enrutadores virtuales en la pgina 21.

Captulo 1 Tablas de enrutamiento y enrutamiento esttico Cundo configurar rutas estticas

9

or virtual pueda dirigir trfico a unque est utilizando el cas cuando se cumplen

ro es accesible a travs de un irse una ruta esttica hacia la zona Untrust puede

onexiones de Internet, por lo rfico destinado a cada

to de un enrutador virtual es adores virtuales en el mismo una ruta predeterminada que untrust-vr el trfico destinado a puede definir una ruta no encontradas en la tabla de

en y llega trfico entrante a una vr, deber definir una entrada icando trust-vr como salto adas de la tabla de Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

CUNDO CONFIGURAR RUTAS ESTTICASLa tabla de enrutamiento proporciona la informacin necesaria para que un enrutaddiferentes interfaces y subredes. Probablemente necesitar definir rutas estticas aenrutamiento dinmico en el dispositivo NetScreen. Es necesario definir rutas estticondiciones como las siguientes:

Si una red no est conectada directamente con el dispositivo NetScreen peenrutador de una interfaz contenida en un enrutador virtual (VR), debe definred que contenga la direccin IP del enrutador. Por ejemplo, la interfaz de laencontrarse en una subred con dos enrutadores, cada uno con diferentes cque ser necesario definir qu enrutador deber utilizarse para reenviar el tproveedor especfico.

Para agregar una ruta predeterminada (0.0.0.0/0) en la tabla de enrutamiennecesario definir una ruta esttica. Por ejemplo, si est utilizando dos enrutdispositivo NetScreen, la tabla de enrutamiento de trust-vr podra contener especificara untrust-vr como el salto siguiente. Esto permitira enrutar haciadirecciones no expresadas en la tabla de enrutamiento de trust-vr. Tambinpredeterminada en untrust-vr para desviar el trfico destinado a direccionesenrutamiento de untrust-vr hacia la direccin IP especfica de un enrutador.

Si est utilizando dos enrutadores virtuales en el mismo dispositivo NetScreinterfaz de untrust-vr destinado a una red conectada a una interfaz de trust-esttica en la tabla de enrutamiento de untrust-vr para la red de destino, indsiguiente. (Observe que no es necesario definir esta ruta esttica si las entrenrutamiento de trust-vr se exportan a untrust-vr).

Captulo 1 Tablas de enrutamiento y enrutamiento esttico Cundo configurar rutas estticas

10

utas estticas que dirijan el e usuario que pasa por el cas que dirijan los mensajes de bin deber definir rutas que DAP, y las comprobaciones de

ia el destino, deber establecer erfaz deseada.l dominio de enrutamiento ir trfico procedente de un MIP o VIP en untrust-vr que

destino para encontrar la mejor abilitar tablas de enrutamiento to, las basadas en orgenes y enrutador virtual.

ecesario definir una ruta que el destino se encuentre en a travs de la cual enviar el Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Cuando el dispositivo funciona en modo transparente, es necesario definir rtrfico administrativo originado en el dispositivo mismo (distinto del trfico dcortafuegos) a los destinos remotos. Por ejemplo, deber definir rutas esttisyslog, SNMP y WebTrends a la direccin de un administrador remoto. Tamdirijan las peticiones de autenticacin a los servidores RADIUS, SecurID y LURL al servidor Websense.

Para el trfico VPN saliente donde exista ms de una interfaz de salida hacuna ruta para dirigir el trfico saliente al enrutador externo a travs de la int

Si el modo de funcionamiento de una interfaz en una zona de seguridad detrust-vr es NAT, y si esa interfaz tiene configurada una MIP o VIP para reciborigen en el dominio de enrutamiento untrust-vr, deber crear una ruta a la apunte a trust-vr como puerta de enlace.

De forma predeterminada, el dispositivo NetScreen utiliza direcciones IP de ruta por la que reenviar paquetes. En un enrutador virtual, tambin puede hbasadas en orgenes o basadas en interfaces. Ambas tablas de enrutamienlas basadas en interfaces, contienen las rutas estticas que configure en el

Nota: Cuando el dispositivo NetScreen trabaja en modo transparente, es nesttica para el trfico administrativo generado por el dispositivo incluso aunla misma subred que ste. Esta ruta se requiere para especificar la interfaztrfico.

Captulo 1 Tablas de enrutamiento y enrutamiento esttico Configuracin de rutas estticas

11

ositivo NetScreen o la direccin asegrese de que en su tabla

de ser cualquier interfaz /2) o una interfaz de tnel. (consulte Reenvo de trfico a

o existen varias rutas hacia la predeterminada para las rutas

al redistribuir rutas. Por an valores de etiqueta

odas las rutas estticas tienen

est inactiva o se haya ctivas en la pgina 19.Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

CONFIGURACIN DE RUTAS ESTTICASPara configurar una ruta esttica se necesita definir lo siguiente:

El enrutador virtual en el cual se est agregando la ruta. La direccin IP y la mscara de red de la red de destino. El salto siguiente para la ruta, que puede ser otro enrutador virtual en el disp

IP de una puerta de enlace (enrutador). Si especifica otro enrutador virtual, de enrutamiento exista una entrada para la red de destino.

La interfaz a travs de la cual se reenva el trfico enrutado. La interfaz puecompatible con ScreenOS, como una interfaz fsica (por ejemplo, ethernet1Tambin puede especificar la interfaz nula para determinadas aplicaciones la interfaz nula en la pgina 18).

(Opcional) La mtrica de ruta se utiliza para seleccionar la ruta activa cuandmisma red de destino, y todas con el mismo valor de preferencia. La mtricaestticas es 1.

(Opcional) Una etiqueta de ruta es un valor que se puede utilizar como filtroejemplo, puede seleccionar importar solamente aquellas rutas que contengespecificados a un enrutador virtual.

(Opcional) Un valor de preferencia para la ruta. De forma predeterminada, tel mismo valor de preferencia que se establece en el enrutador virtual.

(Opcional) Si la ruta se debe mantener activa aunque la interfaz del reenvoeliminado la direccin IP de la interfaz. Consulte Rutas permanentemente a


12

zona Trust en modo NAT ota (a travs de rmes syslog al administrador

Manager al administrador urID en la zona DMZ para de URLs.stinos siguientes (los nmeros

el VR)

iento de trust-vr (ruta

a Trust, ethernet2 a la zona 10.1.1.1/24, 2.2.10.1/24 y Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Ejemplo: Rutas estticasEn el ejemplo siguiente, un dispositivo NetScreen que funciona con su interfaz de laprotege una red de mltiples niveles. Se utiliza tanto administracin local como remNetScreen-Security Manager). El dispositivo NetScreen enva capturas SNMP e infolocal (situado en una red de la zona Trust) y enva informes de NetScreen-Security remoto (situado en una red de la zona Untrust). El dispositivo utiliza un servidor Secautenticar usuarios y un servidor Websense en la zona Trust para realizar el filtradoLas tablas de enrutamiento de trust-vr y untrust-vr deben contener rutas hacia los desiguientes corresponden al grfico mostrado en pgina 13):

untrust-vr

1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para 2. Administrador remoto en la subred 3.3.3.0/243. La subred 2.2.40.0/24 en la zona DMZ4. La subred 2.20.0.0/16 en la zona DMZ

trust-vr

5. untrust-vr para todas las direcciones no encontradas en la tabla de enrutampredeterminada para el VR)

6. La subred 10.10.0.0/16 en la zona Trust7. La subred 10.20.0.0/16 en la zona Trust8. La subred 10.30.1.0/24 en la zona Trust

Nota: El ejemplo siguiente asume que ethernet1 ya est asociada a la zonDMZ y ethernet3 a la zona Untrust. Las direcciones IP de las interfaces son2.2.2.1/24, respectivamente.


13

4

= Enrutador

= Conmutador/ concentrador (switch o hub)

r

Zona DMZ

2.2.40.0/24 2.20.30.0/24

2.20.3.0/24 2.20.4.0/24

10.0/24

2.20.30.2/242.20.3.1/242.20.4.1/24

Servidor SecurID2.2.45.7/32

2.2.10.3/242.20.30.1/24

rJuniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

12

6

7

8

3

Internet

NetScreen

Administracin remotaNetScreen-Security Manage

3.3.3.10/32

3.3.3.0/24

2.2.2.0/24

Zona Untrust

Zona Trust

10.1.1.0/24

2.2.

2.2.10.2/242.2.40.1/24

10.30.1.0/24

10.20.1.0/24

10.10.40.0/2410.10.30.0/24

10.20.3.0/24 10.20.4.0/24

10.20.1.2/2410.20.3.1/2410.20.4.1/24

10.1.1.2/2410.10.30.1/2410.10.40.1/24

10.1.1.4/2410.30.1.1/24

10.1.1.3/2410.20.1.1/24

Administracin local10.10.30.5/32

Servidor Websense10.30.4.7/32

3.3.3.1/242.2.2.3/24

200.20.2.2/242.2.2.2/245

Rutapredeterminada

untrust-vr

trust-v

Configuracin de rutas estticas


14

ntes datos para crear la puerta

ntes datos para dirigir los cin remota, y haga clic en OK :

ntes datos y haga clic en OK :

ntes datos y haga clic en OK :Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

WebUI

1. untrust-vrNetwork > Routing > Routing Entries > untrust-vr New: Introduzca los siguiede enlace predeterminada en la zona no fiable y haga clic en OK :

Network Address/Netmask: 0.0.0.0/0Gateway: (seleccione)

Interface: ethernet3Gateway IP Address: 2.2.2.2

Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguieinformes del sistema generados por el dispositivo NetScreen a la administra

Network Address/Netmask: 3.3.3.0/24Gateway: (seleccione)


Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguieNetwork Address/Netmask: 2.2.40.0/24Gateway: (seleccione)


Network > Routing > Routing Entries > untrust-vr New: Introduzca los siguieNetwork Address/Netmask: 2.20.0.0/16Gateway: (seleccione)



15

es datos y haga clic en OK :

untrust-vres datos y haga clic en OK :



saje del sistema pidiendo en Cancel para cancelar la Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

2. trust-vrNetwork > Routing > Routing Entries > trust-vr New: Introduzca los siguient

Network Address/Netmask: 0.0.0.0/0Next Hop Virtual Router Name: (seleccione);

Network > Routing > Routing Entries > trust-vr New: Introduzca los siguientNetwork Address/Netmask: 10.10.0.0/16Gateway: (seleccione)






Nota: Para eliminar una entrada, haga clic en Remove . Aparecer un menconfirmacin para realizar la eliminacin. Haga clic en OK para continuar oaccin.


16

t3 gateway 2.2.2.2et3 gateway 2.2.2.3net2 gateway 2.2.10.2net2 gateway 2.2.10.3

et1 gateway 10.1.1.2et1 gateway 10.1.1.3et1 gateway 10.1.1.4

Un servidor FTP recibe trfico fico que sale por la interfaz de

Servidor FTP 10.2.2.5

ntrustJuniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

CLI

1. untrust-vrset vrouter untrust-vr route 0.0.0.0/0 interface etherneset vrouter untrust-vr route 3.3.3.0/24 interface ethernset vrouter untrust-vr route 2.2.40.0/24 interface etherset vrouter untrust-vr route 2.20.0.0/16 interface ether

2. trust-vrset vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vrset vrouter trust-vr route 10.10.0.0/16 interface ethernset vrouter trust-vr route 10.20.0.0/16 interface ethernset vrouter trust-vr route 10.30.1.0/24 interface ethernsave

Ejemplo: Ruta para una interfaz de tnelEn este ejemplo, un host fiable reside en una subred diferente que la interfaz fiable.entrante a travs de un tnel VPN. Se necesita establecer una ruta para dirigir el trtnel al enrutador interno que conduce a la subred donde reside el servidor.

Enrutador1.1.1.250

Internet

Tnel VPN

Interfaz Trustethernet1

10.1.1.1/24

Tunnel.110.10.1.1/24

Interfaz Untrustethernet31.1.1.1/24

Zona UZona Trust


17



1 gateway 1.1.1.250

ro debe crear la interfaz Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

WebUI


Interface: tunnel.1Gateway IP Address: 0.0.0.0



CLI

set vrouter trust-vr route 10.2.2.5/32 interface tunnel.set vrouter trust-vr route 0.0.0.0/0 interface ethernet3save

Nota: Para que tunnel.1 aparezca en la lista desplegable Interface, primetunnel.1.


18

ntras que la interfaz nula convertir la ruta a la interfaz s rutas. Hay tres usos para las

fico:

erminada el dispositivo ada en la interfaz de origen. nterfaz de origen, consulte encuentra en la tabla de el origen no est activado, el enrutamiento basada en el rigen, el dispositivo NetScreen

da en los destinos. Si desea da en el origen o en la tabla de en la tabla de enrutamiento a. Utilice una mtrica ms alta te ninguna otra ruta basada en

salida para encriptar el trfico das las rutas definidas en la sea de tnel, el trfico no se nve a una interfaz que no sea Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Reenvo de trfico a la interfaz nulaPuede configurar rutas estticas usando la interfaz nula como interfaz de salida. Miesiempre se considera activa, el trfico destinado a la interfaz nula se descarta. Paranula en una ruta de ltimo recurso, defnala con una mtrica ms alta que las demrutas estticas que emplean la interfaz nula como interfaz en la que se reenva el tr

Impedir consulta de rutas en otras tablas de enrutamientoSi se habilita el enrutamiento basado en interfaz de origen, de forma predetNetScreen realiza operaciones de consulta en la tabla de enrutamiento bas(Para obtener informacin sobre la configuracin del enrutamiento basado iEnrutamiento segn la interfaz de origen en la pgina 44.). Si la ruta no seenrutamiento basada en la interfaz de origen y si el enrutamiento basado endispositivo NetScreen realiza operaciones de consulta de ruta en la tabla deorigen. Si la ruta no se encuentra en la tabla de enrutamiento basada en el orealiza operaciones de consulta de la ruta en la tabla de enrutamiento basaevitar las operaciones de consulta de rutas en la tabla de enrutamiento basaenrutamiento basada en los destinos, puede crear una ruta predeterminadabasada en le interfaz de origen con la interfaz nula como la interfaz de salidque el resto de las rutas para asegurar que esta ruta slo se utilice si no exisla interfaz que coincida con la ruta.

Impedir que el trfico del tnel se enve en interfaces que no sean de tnelPuede utilizar las rutas estticas o dinmicas con las interfaces de tnel de dirigido a destinos especficos. Si una interfaz de tnel se queda inactiva, tointerfaz quedan inactivas. Si hay una ruta alternativa en una interfaz que noenva encriptado. Para impedir que el trfico que debe estar encriptado se e


19

n la interfaz nula como interfaz de tnel de modo que la ruta nterfaz de tnel queda inactiva, escarta.

positivo reciba el trfico uede reenviar el trfico basado ico de nuevo al dispositivo puede definir una ruta esttica lida y una mtrica de ruta alta. ren en su anuncio de ruta

do activo en una tabla de ne una direccin IP asignada. dispositivo NetScreen siempre ntenerse activa incluso cuando do al servidor XAuth no se

nfigura el seguimiento de IP. El te a travs de una interfaz az original. Aun cuando el z de enviar peticiones del vez accesibles. Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

de tnel, defina una ruta esttica al mismo destino que el trfico del tnel code salida. Asigne a esta ruta una mtrica ms alta que la ruta de la interfaz solamente se active si la ruta de la interfaz de tnel no est disponible. Si la ila ruta con la interfaz nula se activa y el trfico para el destino del tnel se d

Evitar bucles de trficoCuando el dispositivo NetScreen anuncia rutas resumidas, puede que el disdestinado a prefijos que no se encuentran en sus tablas de enrutamiento. Pen su ruta predeterminada. El enrutador de recepcin puede reenviar el trfNetScreen debido al anuncio de la ruta resumida. Para evitar dichos bucles,para el prefijo de la ruta resumida con la interfaz nula como la interfaz de saSi el dispositivo NetScreen recibe el trfico para los prefijos que se encuentresumida pero no en sus tablas de enrutamiento, se descarta el trfico.

Rutas permanentemente activasHay ciertas situaciones en las que quizs le interese que una ruta mantenga su estaenrutamiento incluso si la interfaz fsica asociada a la ruta se queda inactiva o no tiePor ejemplo, un servidor XAuth puede asignar una direccin IP a una interfaz en unque se necesite enviar trfico al servidor. La ruta hacia el servidor de XAuth debe mano haya direccin IP asignada en la interfaz de modo que el trfico que est destinadescarte. Tambin es til mantener activas las rutas a travs de las interfaces en las que se coseguimiento de IP permite que el dispositivo NetScreen reencamine el trfico saliendiferente si las direcciones IP de destino no se pueden alcanzar a travs de la interfdispositivo NetScreen puede reencaminar el trfico a otra interfaz, necesita ser capacomando ping en la interfaz original para determinar si los destinos llegan a ser otra


20 Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

221

Captulo 2

s sistemas y dispositivos de fico seguro a los destinos ue utilice slo rutas estticas, amiento siempre que haya un tticas, consulte Tablas de rmite a los dispositivos sitivos de red mediante la actualizan automticamente.

bios en la topologa de la red y ara obtener informacin sobre

202.ispositivos NetScreen y cmo ste captulo contiene las

a 36Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Enrutadores virtuales

El enrutamiento es una parte fundamental de los dispositivos de seguridad como loNetScreen. Sin el enrutamiento, los dispositivos de seguridad no podran reenviar trpotenciales de forma efectiva. Se puede configurar un dispositivo NetScreen para qpero entonces se debe aadir, eliminar o modificar una entrada de la tabla de enrutcambio en la red. (Para obtener ms informacin sobre la configuracin de rutas esenrutamiento y enrutamiento esttico en la pgina 1). El enrutamiento dinmico peNetScreen intercambiar informacin de enrutamiento con enrutadores y otros dispoutilizacin de protocolos de uso habitual y tablas de enrutamiento que se crean y seLos protocolos de enrutamiento dinmico reducen mucho el intervalo entre los camlos ajustes en la tabla de enrutamiento porque estos se realizan automticamente. Pla tabla de rutas multicast, consulte Tabla de enrutamiento multicast en la pgina En este captulo se explica cmo configurar los enrutadores virtuales (VRs) en los dredistribuir las entradas de la tabla de enrutamiento entre protocolos o entre VRs. Esiguientes secciones:

Enrutadores virtuales de los dispositivos NetScreen en la pgina 23 Utilizacin de dos enrutadores virtuales en la pgina 23 Reenvo de trfico entre enrutadores virtuales en la pgina 24 Configuracin de dos enrutadores virtuales en la pgina 24 Enrutadores virtuales personalizados en la pgina 27 Enrutadores virtuales y sistemas virtuales en la pgina 29

Modificacin de enrutadores virtuales en la pgina 33 ID del enrutador virtual en la pgina 34 Nmero mximo de entradas de la tabla de enrutamiento en la pgin

Captulo 2 Enrutadores virtuales

22

gina 54

a 62Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Seleccin de rutas en la pgina 37 Preferencia de ruta en la pgina 37 Mtrica de ruta en la pgina 39

Tablas de enrutamiento en la pgina 40 Enrutamiento segn el origen en la pgina 40 Enrutamiento segn la interfaz de origen en la pgina 44 Secuencia de consulta de rutas en la pgina 46 Consulta de rutas en mltiples enrutadores virtuales en la pgina 50

Enrutamiento de rutas mltiples de igual coste en la pgina 52 Activacin del enrutamiento de rutas mltiples de igual coste en la p

Redistribucin de rutas en la pgina 55 Configuracin de un mapa de rutas en la pgina 56 Filtrado de rutas en la pgina 58 Listas de acceso en la pgina 58

Exportacin e importacin de rutas entre enrutadores virtuales en la pgin

Captulo 2 Enrutadores virtuales Enrutadores virtuales de los dispositivos NetScreen

23

virtuales. Los enrutadores s multicast que se pueden de Juniper Networks

d predefinidas y las zonas

ridad.en algunos dispositivos Enrutadores virtuales enrutadores virtuales res virtuales predefinidos y los

asterisco (*) indica que trust-vr bla de VRs ejecutando el pecificar el VR por nombre, por

ede controlar qu informacin nrutamiento. Por ejemplo, se una red corporativa en el VR

red corporativa en el otro VR n VR no es visible desde el fuentes no fiables situadas Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREENScreenOS puede dividir su componente de enrutamiento en dos o ms enrutadoresvirtuales (VRs) admiten protocolos de enrutamiento esttico y dinmico, y protocoloactivar de forma simultnea en un solo enrutador virtual. Los dispositivos NetScreenincorporan dos enrutadores virtuales predefinidos:

trust-vr, que de forma predeterminada contiene todas las zonas de seguridadefinidas por el usuario.

untrust-vr, que de forma predeterminada no contiene ninguna zona de seguNo se pueden eliminar los enrutadores virtuales trust-vr ni untrust-vr. Sin embargo, NetScreen se pueden crear y configurar enrutadores virtuales adicionales (consultepersonalizados en la pgina 27 para obtener ms informacin sobre la creacin depersonalizados). Se pueden configurar determinados parmetros para los enrutadopersonalizados (consulte Modificacin de enrutadores virtuales en la pgina 33).Pueden existir varios VRs, pero trust-vr es el predeterminado. En la tabla de VR, unes el VR predeterminado en la interfaz de lnea de comandos (CLI). Puede ver la tacomando CLI get vrouter . Para configurar zonas e interfaces en otros VRs, debe esejemplo untrust-vr .

Utilizacin de dos enrutadores virtualesDividiendo la informacin de enrutamiento en dos enrutadores virtuales (VRs), se pude un determinado dominio de enrutamiento ser visible desde otros dominios de epuede mantener la informacin de enrutamiento de todas las zonas de seguridad depredefinido trust-vr, y la informacin de enrutamiento de todas las zonas fuera de lapredefinido untrust-vr. Gracias a que la informacin de la tabla de enrutamiento de uotro, la informacin de enrutamiento de la red interna se puede mantener aislada defuera de la empresa.


24

o se reenva automticamente ermitan el trfico. Para habilitar respondientes entradas en la

salto para la ruta. Esta ruta nfigurar una ruta estino de un paquete de salida

st-vr, se reenva al untrust-vr. sulte Tablas de enrutamiento y

nto de otro VR. Se pueden rutas de la tabla de e paquetes recibidos en el xportacin e importacin de

rtuales (VRs) en un dispositivo a predeterminada, todas las

vr. Esto significa que todas las a seccin analiza cmo asociar

nas de seguridad a un slo VR es de las zonas deben estar en la zona pertenecen al VR. Se ay que quitar todas las iar una interfaz con respecto a ntos).Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Reenvo de trfico entre enrutadores virtualesCuando hay dos enrutadores virtuales (VRs) en un dispositivo NetScreen, el trfico nentre las zonas que se encuentran en distintos VR, aunque existan directivas que pel paso de trfico de un VR a otro, es necesario estar seguro de que existen las cortabla de enrutamiento. Para ello, se puede hacer lo siguiente:

Configurar una ruta esttica en un VR que defina otro VR como el siguientepuede incluso ser la ruta predeterminada del VR. Por ejemplo, se puede copredeterminada para el trust-vr con el untrust-vr como siguiente salto. Si el dno coincide con ninguna de las entradas de la tabla de enrutamiento del truPara obtener ms informacin sobre la configuracin de rutas estticas, conenrutamiento esttico en la pgina 1.

Exportar rutas de la tabla de enrutamiento de un VR a la tabla de enrutamieexportar e importar rutas concretas. Tambin se pueden exportar todas las enrutamiento del trust-vr a la tabla del untrust-vr. Esto posibilita el reenvo duntrust-vr a destinos del trust-vr. Para obtener ms informacin, consulte Erutas entre enrutadores virtuales en la pgina 62.

Configuracin de dos enrutadores virtualesComo se ha mencionado anteriormente, se pueden configurar varios enrutadores viNetScreen manteniendo una tabla de enrutamiento separada para cada VR. De formzonas de seguridad predefinidas y definidas por el usuario estn asociadas al trust-interfaces asociadas a esas zonas de seguridad tambin pertenecen al trust-vr. Estuna zona de seguridad (y sus interfaces) al VR untrust-vr.Se puede asociar una zona de seguridad a un slo VR. Se pueden asociar varias zocuando no hay superposicin de direcciones entre zonas. Esto es, todas las interfacmodo de ruta. Una vez que una zona est asociada a un VR, todas las interfaces depuede cambiar el vnculo de una zona de seguridad de un VR a otro, pero primero hinterfaces de la zona. (Para obtener ms informacin sobre cmo asociar y desasocuna zona de seguridad, consulte el captulo Interfaces en el Volumen 2, Fundame


25

al VR untrust-vr:o se puede modificar el vnculo direccin IP a una interfaz, es

a zona.

erminada al trust-vr y la interfaz ociadas a la zona de seguridad ernet3 con un valor de 0.0.0.0,

trust-vr.

ga clic en OK :

ble Virtual Router Name y haga

legable Zone Name y haga clic Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

A continuacin se enumeran los pasos bsicos para asociar una zona de seguridad1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. N

de zona a VR si hay una interfaz asignada a la zona. Si se ha asignado unanecesario eliminar la asignacin de direccin antes de quitar la interfaz de l

2. Asignar la zona al VR untrust-vr.3. Asignar de nuevo las interfaces a la zona.

Ejemplo: Asociacin de una zona al untrust-vrEn el siguiente ejemplo, la zona de seguridad untrust est asociada de forma predetethernet3 est asociada a la zona de seguridad untrust. (No hay otras interfaces asuntrust). Primero se debe definir la direccin IP y la mscara de red de la interfaz ethdespus cambiar los enlaces para que la zona de seguridad untrust se asocie al un

WebUI

1. Desasociar la interfaz de la zona untrustNetwork > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y ha

Zone Name: NullIP Address/Netmask: 0.0.0.0/0

2. Asociar la zona untrust al untrust-vrNetwork > Zones (untrust) > Edit: Seleccione untrust-vr en la lista desplegaclic en OK .

3. Asociar la interfaz a la zona untrustNetwork > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista despen OK .


26

stra la interfaz, la zona y los , la zona untrust est asociada a y enlaces del VR despus de

. 7 policy configurable zone(s)------------------------------- VR Default-IF VSYSed untrust-vr null Rooted untrust-vr ethernet3 Root trust-vr ethernet1 Root trust-vr ethernet2 Root trust-vr self Root trust-vr vlan1 Root trust-vr null Root trust-vr null Root trust-vr v1-untrust Root trust-vr v1-trust Root trust-vr v1-dmz Root trust-vr null Root---------------------------------

ciada al untrust-vrJuniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

CLI

1. Desasociar la interfaz de la zona untrustset interface ethernet3 0.0.0.0/0unset interface ethernet3 zone

2. Asociar la zona untrust al untrust-vrset zone untrust vr untrust-vr

3. Asociar la interfaz a la zona untrustset interface eth3 zone untrustsave

En las siguientes imgenes, el resultado del comando get zone de la izquierda mueenlaces predeterminados del enrutador virtual (VR). En los enlaces predeterminadosal trust-vr. El resultado del comando get zone de la derecha muestra la interfaz, zonhaber reconfigurado los enlaces, la zona untrust est ahora asociada al untrust-vr.

ns-> get zoneTotal of 12 zones in vsys root. 7 policy configurable zone(s)-------------------------------------------------------------ID Name Type Attr VR Default-IF VSYS

0 Null Null Shared untrust-vr null Root 1 Untrust Sec(L3) Shared trust-vr ethernet3 Root 2 Trust Sec(L3) trust-vr ethernet1 Root 3 DMZ Sec(L3) trust-vr ethernet2 Root 4 Self Func trust-vr self Root 5 MGT Func trust-vr vlan1 Root 6 HA Func trust-vr null Root10 Global Sec(L3) trust-vr null Root11 V1-Untrust Sec(L2) trust-vr v1-untrust Root12 V1-Trust Sec(L2) trust-vr v1-trust Root13 V1-DMZ Sec(L2) trust-vr v1-dmz Root16 Untrust-Tun Tun trust-vr null Root

ns-> get zoneTotal of 12 zones in vsys root------------------------------ID Name Type Attr

0 Null Null Shar 1 Untrust Sec(L3) Shar 2 Trust Sec(L3) 3 DMZ Sec(L3) 4 Self Func 5 MGT Func 6 HA Func 10 Global Sec(L3) 11 V1-Untrust Sec(L2) 12 V1-Trust Sec(L2) 13 V1-DMZ Sec(L2) 16 Untrust-Tun Tun

------------------------------

Zona untrust asociada al trust-vr (enlaces predeterminados) Zona untrust aso


27

alizados adems de los dos rio, incluidos la identidad del r de preferencia de las rutas de

a exportacin de rutas

y haga clic en OK :

)

cesaria una clave de licencia de Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Enrutadores virtuales personalizadosAlgunos dispositivos NetScreen1 permiten crear enrutadores virtuales (VRs) personpredefinidos. Se pueden modificar todos los aspectos de un VR definido por el usuaVR, el nmero mximo de entradas permitidas en la tabla de enrutamiento, y el valodeterminados protocolos.

Ejemplo: Creacin de un enrutador virtual personalizadoEn este ejemplo, se crea un VR personalizado denominado trust2-vr y se habilita unautomtica del VR trust2-vr al untrust-vr.

WebUI

Network > Routing > Virtual Routers > New: Introduzca los siguientes datosVirtual Router Name: trust2-vrAuto Export Route to Untrust-VR: (seleccione

CLI

set vrouter name trust2-vrset vrouter trust2-vr auto-route-exportsave

1. Slo determinados dispositivos NetScreen admiten VRs personalizados. Para crear VRs personalizados, es nesoftware.


28

te denominado trust2-vr.

r .

OK .

set, are you sure? y/[n]),

ntrust-vr y trust-vr, pero se bre de un VR definido por el volver a crearlo con el nuevo Juniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Ejemplo: Eliminacin de un enrutador virtual personalizadoEn este ejemplo, se elimina un enrutador virtual (VR) definido por el usuario existen

WebUI

Network > Routing > Virtual Routers: Haga clic en Remove para el trust2-v

Cuando aparezca la peticin de confirmacin de la eliminacin, haga clic en

CLI

unset vrouter trust2-vr

Cuando aparezca la peticin de confirmacin para la eliminacin (vrouter unteclee Y.

save

Nota: No se pueden eliminar los enrutadores virtuales (VRs) predefinidos upuede eliminar cualquier VR definido por el usuario. Para modificar el nomusuario o cambiar la ID del VR, se debe primero eliminar el VR, y despusnombre o ID del VR.


29

habilitado2, automticamente el

st-vr es, de forma predefinida, de nivel raz como compartido.VR de nivel vsys que mantiene rar el VR como vsysname-vr o mpartido por otros vsys.

nformacin sobre sistemas a uno de los tres vsys tiene dos

, es necesaria una clave de licencia

s1-vr

-vr Creados automticamente cuando se crea vsysJuniper Networks NetScreen conceptos y ejemplos Volumen 6: Enrutamiento

Enrutadores virtuales y sistemas virtualesCuando un administrador del nivel raz crea un vsys en sistemas con sistema virtual vsys tiene los siguientes enrutadores virtuales (VRs) disponibles para su uso:

Cualquier VR de nivel raz que haya sido definido como compartido. El untruun VR compartido accesible por cualquier vsys. Se puede configurar otro VR

Un VR de nivel vsys. Cuando se crea un vsys, se crea automticamente un la tabla de enrutam

Juniper Networks NetScreen

Text of Juniper Networks NetScreen

Juniper Networks ScreenOS Release Notes · PDF fileSaving Multiple Firmware Images with the Boot Loader ... 1000, ISG 1000-IDP, ISG 2000, ISG 2000-IDP, NetScreen-5200, and NetScreen-5400

NetScreen 概念與範例：第 3 卷，管理 - Cafe Horizon · NetScreen-Remote VPN Client, NetScreen-IDP 10, ... Juniper Networks NetScreen 概念與範例– 第 3 卷: ... (

Juniper - Netscreen Insg r5.1 - Student Guide

Upgrade juniper netscreen os

Juniper Networks NetScreen-Secure Access

Juniper Networks NetScreen-5200/5400 - Digilink...System config script Yes NetScreen ScreenOS software Yes Dimensions and Power Juniper Networks Juniper Networks NetScreen-5200 NetScreen-540

NetScreen-50 User’s Guide - Juniper Networks€¦ · · 2014-09-23Version 5.0 P/N 093-1249-000 Rev. B. ... the Juniper Networks logo, NetScreen, NetScreen Technologies, GigaScreen,

Configuring the Juniper Netscreen Firewall Security Policies 908

NetScreen-500 Installer’s Guide - Juniper Networks...The NetScreen-500 isa network security device that protects your Ethernet local area network (LAN) when connecting to the Internet

Juniper Networks Product: NetScreen-5XT, NetScreen · PDF fileAddressed Issues in ScreenOS 5.0.0 on page 4 ... your device has internet connectivity. ... the NetScreen-ISG 2000 Fast

FIPS 140-2 SECURITY POLICY Juniper Networks NetScreen-5200 ... fileJuniper Networks NetScreen-5200 and NetScreen-5400 Security Policy 1 FIPS 140-2 SECURITY POLICY Juniper Networks

Juniper networks - Présentation | Juniper Networks ...media.gswi.westcon.com/.../juniper-networks-presentation-052011_fr.… · Title: Juniper networks - Présentation | Juniper

Juniper Netscreen HOWTO - Lobotomo · client and a Juniper Netscreen ﬁrewall. All information in this document is based on the following assumed network. Roadwarrior Internet Juniper

High-Availability Designs for Juniper NetScreen Firewalls

SYSTEM MONITORING PLUG-IN FOR JUNIPER NETSCREEN … · Juniper Netscreen Firewall instances in groups, or including them in heterogeneous groups or systems, administrators can benefit

Juniper Networks NetScreen Secure Access Series and Juniper Networks NetScreen Secure

Juniper NetScreen IPSec Dial Client Installation Guide for Windows

Juniper Networks ScreenOS Release Notes - NVC · PDF fileJuniper Networks ScreenOS Release Notes ... Special Boot-ROM or Boot-Loader Requirements ... NetScreen-5200, and NetScreen-5400

FIPS 140-2 SECURITY POLICY Juniper Networks, Inc ... fileJuniper Networks, Inc. NetScreen-5200 and NetScreen-5400 . HW PN ... NetScreen-IDP 100, NetScreen-IDP 500, GigaScreen ASIC,

NetScreen-ISG 2000 User’s Guide - Juniper Networks · 2014-09-23 · NetScreen-ISG 2000 1 Preface The Juniper Networks NetScreen-ISG 2000 is a purpose-built, high-performance security

NetScreen-5GT Wireless User’s Guide - Juniper Networks...NetScreen-5GT Wireless 3 Preface The Juniper Networks NetScreen-5GT Wireless device provides IPSec Virtual Private Network

SYSTEM MONITORING PLUG-IN FOR JUNIPER NETSCREEN FIREWALL · oracle data sheet march 2010 1 system monitoring plug-in for juniper netscreen firewall system monitoring plug-in for juniper

NetScreen-500 User’s Guide - Juniper NetworksNetScreen-500 v Preface The Juniper Networks NetScreen-500 is a purpose-built, high-performance security system designed to provide a

Juniper Netscreen模拟实例配置PPT

NetScreen CLI Reference Guide - Juniper Networks

Juniper Networks NetScreen-Secure Access · · 2014-09-23Upgrading to IVE 5.1 R1 ... Juniper Networks, Inc. 1 ... • There is a known issue when using Windows Secure Application

NetScreen-ISG 2000 User’s Guide - juniper.net · NetScreen-ISG 2000 v Preface The Juniper Networks NetScreen-ISG 2000 is a purpose-built, high-performance security system designed

NetScreen-5XT User’s Guide - Juniper Networks · Setting an IP Address for Managing NetScreen-5XT ... for connecting to serial terminal emulation programs such ... for connecting

NetScreen-5XP Installer’s Guide - Juniper Networks · 2014-09-23 · The NetScreen-5XP device provides IPSec VPN and firewall services for a broadband telecommuter, a branch office,

NetScreen-50 User's Guide - Juniper Networks

Documents

Juniper Networks NetScreen

Text of Juniper Networks NetScreen