Enrutamiento - Juniper Networks

Conceptos y ejemplos 

Manual de referencia de ScreenOS 

Volumen 7: 

Enrutamiento 

Versión 5.3.0, Rev. B 

Juniper Networks, Inc. 

1194 North Mathilda Avenue 

Sunnyvale, CA 94089 

USA 

408-745-2000 

www.juniper.net 

Número de pieza: 093-1665-000-SP, Revisión B

ii 

Copyright Notice 

Copyright © 2005 Juniper Networks, Inc. All rights reserved. 

Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other 

trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective 

owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for 

any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication 

without notice. 

FCC Statement 

The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A 

digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the 

equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and 

used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential 

area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. 

The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency 

energy. If it is not installed in accordance with Juniper Network’s installation instructions, it may cause interference with radio and television reception. 

This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC 

rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no 

guarantee that interference will not occur in a particular installation. 

If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user 

is encouraged to try to correct the interference by one or more of the following measures: 

Reorient or relocate the receiving antenna. 

Increase the separation between the equipment and receiver. 

Consult the dealer or an experienced radio/TV technician for help. 

Connect the equipment to an outlet on a circuit different from that to which the receiver is connected. 

Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device. 

Disclaimer 

THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED 

WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED 

WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY. 

Writer: Kristine Conley 

Editor: Lisa Eldridge

Contenido 

Acerca de este volumen ix 

Convenciones del documento ......................................................................... ix 

Convenciones de la interfaz de línea de comandos (CLI) ...........................x 

Convenciones para las ilustraciones ......................................................... xi 

Convenciones de nomenclatura y conjuntos de caracteres ...................... xii 

Convenciones de la interfaz gráfica (WebUI) .......................................... xiii 

Documentación de Juniper Networks............................................................ xiv 

Capítulo 1 Enrutamiento estático 1 

Vista general ....................................................................................................2 

Cómo funciona el enrutamiento estático ...................................................2 

Cuándo configurar rutas estáticas..............................................................3 

Configurar rutas estáticas ..........................................................................5 

Ajustar rutas estáticas .........................................................................5 

Establecer una ruta estática para una interfaz de túnel .......................8 

Habilitar el seguimiento de las puertas de enlace ......................................9 

Reenviar tráfico a la interfaz nula...................................................................10 

Impedir búsqueda de rutas en otras tablas de enrutamiento ...................10 

Impedir que el tráfico de túnel se envíe a través de interfaces 

que no sean de túnel.........................................................................10 

Impedir la creación de bucles por las rutas resumidas.............................11 

Rutas permanentemente activas ....................................................................11 

Cambiar la preferencia de enrutamiento con rutas múltiples 

de igual coste...........................................................................................12 

Capítulo 2 Enrutamiento 13 

Vista general ..................................................................................................14 

Tablas de enrutamiento del enrutador virtual.................................................15 

Tabla de enrutamiento basada en destinos..............................................16 

Tabla de enrutamiento basada en el origen .............................................17 

Tabla de enrutamiento basada en la interfaz de origen ...........................20 

Crear y modificar enrutadores virtuales .........................................................22 

Modificar enrutadores virtuales ...............................................................22 

Asignar una ID del enrutador virtual........................................................23 

Reenviar tráfico entre enrutadores virtuales ............................................23 

Configurar dos enrutadores virtuales .......................................................24 

Crear y eliminar enrutadores virtuales.....................................................26 

Crear un enrutador virtual personalizado ..........................................27 

Eliminar un enrutador virtual personalizado .....................................27 

Enrutadores virtuales y sistemas virtuales ...............................................27 

Crear un enrutador virtual en un Vsys...............................................28 

Compartir rutas entre enrutadores virtuales......................................29 

Limitar el número máximo de entradas de la tabla de enrutamiento ......30 

Contenido iii

Conceptos y ejemplos, Manual de Referencia de ScreenOS 

iv Contenido 

Ejemplos y características del enrutamiento ..................................................31 

Seleccionar rutas .....................................................................................31 

Establecer una preferencia de ruta....................................................31 

Métricas de ruta ................................................................................32 

Cambiar la secuencia predeterminada de consulta de rutas..............33 

Consultar rutas en múltiples enrutadores virtuales............................36 

Configurar el enrutamiento de rutas múltiples de igual coste...................37 

Redistribuir rutas.....................................................................................39 

Configurar un mapa de rutas.............................................................40 

Filtrar rutas .......................................................................................42 

Configurar una lista de acceso...........................................................42 

Redistribuir rutas en OSPF ................................................................43 

Exportar e importar rutas entre enrutadores virtuales .............................44 

Configurar una regla de exportación .................................................45 

Configurar la exportación automática ...............................................46 

Capítulo 3 Protocolo OSPF 47 

Vista general ..................................................................................................48 

Áreas .......................................................................................................48 

Clasificación de enrutadores....................................................................49 

Protocolo de saludo .................................................................................50 

Tipos de redes .........................................................................................50 

Redes de difusión..............................................................................50 

Redes punto a punto .........................................................................50 

Redes punto a multipunto.................................................................51 

Notificaciones de estado de conexiones ..................................................51 

Configuración básica de OSPF .......................................................................51 

Crear y eliminar una instancia de enrutamiento de OSPF........................53 

Crear una instancia de OSPF.............................................................53 

Eliminar una instancia de OSPF ........................................................53 

Crear y eliminar un área OSPF ................................................................54 

Crear un área OSPF...........................................................................54 

Eliminar un área OSPF......................................................................55 

Asignar interfaces a un área OSPF...........................................................55 

Asignar interfaces a áreas .................................................................55 

Configurar un rango de áreas............................................................56 

Habilitar OSPF en interfaces....................................................................56 

Habilitar OSPF en interfaces .............................................................56 

Inhabilitar OSPF en una interfaz .......................................................57 

Comprobar la configuración ....................................................................58 

Redistribución de rutas en protocolos de enrutamiento .................................59 

Resumen de rutas redistribuidas ....................................................................60 

Resumen de rutas redistribuidas .............................................................60 

Parámetros globales de OSPF ........................................................................61 

Notificar la ruta predeterminada..............................................................62 

Conexiones virtuales ...............................................................................63 

Crear una conexión virtual................................................................63 

Crear una conexión virtual automática..............................................65 

Ajustar parámetros de interfaz OSPF .............................................................65 

Configuración de seguridad............................................................................67 

Autenticar vecinos ...................................................................................67 

Configurar una contraseña de texto no cifrado .................................68 

Configurar una contraseña MD5 .......................................................68 

Configurar una lista de vecinos de OSPF .................................................68

Rechazar rutas predeterminadas .............................................................69 

Proteger contra inundaciones..................................................................70 

Configurar un límite de saludo ..........................................................70 

Configurar un límite de LSAs.............................................................70 

Habilitar la inundación reducida .......................................................71 

Crear un circuito de demanda OSPF en una interfaz de túnel ........................71 

Interfaz de túnel punto a multipunto..............................................................72 

Establecer el tipo de conexión OSPF .......................................................72 

Inhabilitar la restricción Route-Deny........................................................72 

Crear una red punto a multipunto ...........................................................73 

Capítulo 4 Protocolo de información de enrutamiento 79 

Vista general ..................................................................................................80 

Configuración básica de RIP...........................................................................81 

Crear y eliminar una instancia RIP ..........................................................82 

Crear una instancia RIP.....................................................................82 

Eliminar una instancia RIP ................................................................82 

Habilitar y deshabilitar RIP en interfaces .................................................83 

Habilitar RIP en una interfaz .............................................................83 

Inhabilitación de RIP en una interfaz ................................................83 

Redistribuir rutas.....................................................................................83 

Visualizar la información de RIP ....................................................................85 

Visualizar la base de datos RIP ................................................................85 

Visualizar los detalles de RIP ...................................................................86 

Visualizar información de vecino RIP ......................................................87 

Visualizar detalles de RIP para una interfaz específica .............................88 

Parámetros globales de RIP............................................................................89 

Notificar la ruta predeterminada ....................................................................90 

Configurar los parámetros de interfaz de RIP.................................................91 

Configuración de seguridad............................................................................92 

Autenticar vecinos mediante una contraseña ..........................................92 

Configurar vecinos fiables........................................................................93 

Rechazar rutas predeterminadas .............................................................94 

Proteger contra inundaciones..................................................................95 

Configurar un umbral de actualización..............................................95 

Habilitar RIP en interfaces de túnel...................................................95 

Configuraciones opcionales de RIP ................................................................97 

Configurar la versión de RIP ....................................................................97 

Habilitar y deshabilitar un resumen de prefijo .........................................99 

Habilitar un resumen de prefijo.........................................................99 

Inhabilitar un resumen de prefijo....................................................100 

Ajustar rutas alternas.............................................................................100 

Circuitos de demanda en interfaces de túnel .........................................101 

Configurar un vecino estático ................................................................103 

Configurar una interfaz de túnel punto a multipunto....................................103 

Capítulo 5 Protocolo BGP 109 

Vista general ................................................................................................110 

Tipos de mensajes BGP..........................................................................110 

Atributos de ruta....................................................................................111 

BGP externo e interno ...........................................................................111 

Configuración básica de BGP........................................................................112 

Crear y habilitar una instancia de BGP...................................................113 

Contenido 

Contenido v


vi Contenido 

Crear una instancia BGP..................................................................113 

Eliminar una instancia de BGP ........................................................114 

Habilitar y deshabilitar BGP en interfaces..............................................114 

Habilitar BGP en interfaces .............................................................114 

Inhabilitar BGP en interfaces...........................................................114 

Configurar grupos de interlocutores e interlocutores BGP ......................115 

Configurar un interlocutor BGP .......................................................116 

Configurar un grupo de interlocutores IBGP ....................................117 

Comprobar la configuración BGP...........................................................118 

Configuración de seguridad..........................................................................119 

Autenticar vecinos BGP..........................................................................120 

Rechazar rutas predeterminadas ...........................................................120 

Configuraciones opcionales de BGP .............................................................121 

Redistribuir rutas en BGP.......................................................................122 

Configurar una lista de acceso AS-Path..................................................123 

Agregar rutas a BGP...............................................................................124 

Notificar ruta condicional................................................................124 

Establecer el peso de la ruta............................................................125 

Establecer atributos de ruta.............................................................125 

Capacidad de enrutamiento-actualización .............................................126 

Solicitar una actualización de la tabla de enrutamiento entrante.....127 

Solicitar una actualización de la tabla de enrutamiento saliente ......127 

Configuración de la reflexión de rutas ...................................................127 

Configurar una confederación ...............................................................130 

Comunidades BGP.................................................................................131 

Agregar rutas.........................................................................................132 

Agregar rutas con diferentes AS-Paths.............................................132 

Suprimir las rutas más específicas en actualizaciones .....................133 

Seleccionar rutas para el atributo Path ............................................134 

Cambiar atributos de una ruta agregada .........................................135 

Capítulo 6 Enrutamiento multicast 137 

Vista general ................................................................................................137 

Direcciones multicast ............................................................................138 

Reenviar rutas inversas .........................................................................138 

Enrutamiento multicast en dispositivos de seguridad...................................139 

Tabla de enrutamiento multicast ...........................................................139 

Configurar una ruta multicast estática ...................................................140 

Listas de acceso.....................................................................................141 

Configurar el encapsulado genérico de enrutamiento 

en interfaces de túnel......................................................................141 

Directivas multicast......................................................................................143 

Capítulo 7 Protocolo IGMP 145 

Vista general ................................................................................................146 

Hosts .....................................................................................................147 

Enrutadores multicast............................................................................148 

IGMP en dispositivos de seguridad ...............................................................149 

Habilitar y deshabilitar IGMP en interfaces ............................................149 

Habilitar IGMP en una interfaz ........................................................149 

Inhabilitar IGMP en una interfaz......................................................150 

Configurar una lista de accesos para grupos aceptados .........................150 

Configurar IGMP ....................................................................................151

Verificar una configuración de IGMP......................................................153 

Parámetros operativos de IGMP.............................................................154 

Proxy de IGMP .............................................................................................155 

Informes de miembros en sentido ascendente hacia el origen ..............156 

Datos multicast en sentido descendente a los receptores ......................157 

Configurar el proxy de IGMP .................................................................158 

Configurar un proxy de IGMP en una interfaz........................................158 

Directivas Multicast para configuraciones de IGMP y proxy de IGMP.....160 

Crear una directiva de grupo multicast para IGMP ..........................160 

Crear una configuración de proxy de IGMP.....................................160 

Configurar un proxy del remitente de IGMP ..........................................167 

Capítulo 8 Multicast independiente de protocolo (PIM) 173 

Vista general ................................................................................................175 

PIM-SM..................................................................................................176 

Árboles de distribución multicast ....................................................176 

Enrutador designado.......................................................................177 

Asignar puntos de encuentro a grupos ............................................177 

Reenviar tráfico a través del árbol de distribución...........................178 

PIM-SSM ................................................................................................180 

Configuración de PIM-SM en dispositivos de seguridad................................180 

Habilitar y eliminar una instancia PIM-SM 

en un enrutador virtual (VR)............................................................181 

Habilitar de una instancia PIM-SM...................................................181 

Eliminar una instancia PIM-SM........................................................181 

Habilitar y deshabilitar PIM-SM en interfaces.........................................182 

Habilitar PIM-SM en una interfaz.....................................................182 

Inhabilitar PIM-SM en una interfaz ..................................................182 

Directivas de grupo multicast ................................................................182 

Mensajes Static-RP-BSR...................................................................183 

Mensajes Join-Prune........................................................................183 

Definir de una directiva de grupo multicast para PIM-SM................183 

Ajustar una configuración de PIM-SM básica ................................................184 

Comprobar la configuración.........................................................................189 

Configurar puntos de encuentro...................................................................191 

Configurar de un punto de encuentro estático .......................................191 

Configurar de un punto de encuentro candidato....................................192 

Consideraciones sobre seguridad .................................................................193 

Restringir grupos multicast....................................................................193 

Restringir orígenes multicast .................................................................194 

Restringir puntos de encuentro..............................................................195 

Parámetros de la interfaz PIM-SM ................................................................196 

Definir una directiva de vecindad ..........................................................196 

Definir un borde bootstrap ....................................................................197 

Configurar de un punto de encuentro del proxy...........................................198 

PIM-SM e IGMPv3 ........................................................................................207 

Índice ........................................................................................................................IX-I 

Contenido 

Contenido vii


viii Contenido

Acerca de este volumen 

Convenciones del documento 

El Volumen 7: Enrutamiento incluye los siguientes capítulos: 

Capítulo 1, “Enrutamiento estático,” explica las tablas de rutas y cómo 

configurar las rutas estáticas para enrutamiento basado en los destinos, 

enrutamiento basado en la interfaz de origen o enrutamiento basado en 

orígenes. 

Capítulo 2, “Enrutamiento,” explica cómo configurar los enrutadores virtuales 

en los dispositivos de seguridad y cómo redistribuir las entradas de la tabla de 

enrutamiento entre protocolos o entre enrutadores virtuales. 

Capítulo 3, “Protocolo OSPF,” explica cómo configurar Open Shortest Path First 

(OSPF). 

Capítulo 4, “Protocolo de información de enrutamiento,” explica cómo 

configurar Routing Information Protocol (RIP). 

Capítulo 5, “Protocolo BGP,” explica cómo configurar Border Gateway Protocol 

(BGP). 

Capítulo 6, “Enrutamiento multicast,” explica los fundamentos del 

enrutamiento multicast, incluyendo cómo configurar rutas multicast estáticas. 

Capítulo 7, “Protocolo IGMP,” explica cómo configurar Internet Group 

Management Protocol (IGMP). 

Capítulo 8, “Multicast independiente de protocolo (PIM),” explica cómo 

configurar Protocol Independent Multicast - Sparse Mode (PIM-SM) y Protocol 

Independent Multicast - Source Specific Multicast (PIM-SSM). 

Este documento utiliza distintos tipos de convenciones, que se explican en las 

siguientes secciones: 

“Convenciones de la interfaz de línea de comandos (CLI)” en la página x 

“Convenciones para las ilustraciones” en la página xi 

“Convenciones de nomenclatura y conjuntos de caracteres” en la página xii 

“Convenciones de la interfaz gráfica (WebUI)” en la página xiii 

Convenciones del documento ix


Convenciones de la interfaz de línea de comandos (CLI) 

x Convenciones del documento 

Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos 

de CLI en ejemplos y en texto. 

En ejemplos: 

Los elementos entre corchetes [ ] son opcionales. 

Los elementos entre llaves { } son obligatorios. 

Si existen dos o más opciones alternativas, aparecerán separadas entre sí por 

barras verticales ( | ). Por ejemplo: 

set interface { ethernet1 | ethernet2 | ethernet3 } manage 

significa “establecer las opciones de administración de la interfaz ethernet1, 

ethernet2, o ethernet3”. 

Las variables aparecen en tipo cursiva. 

En texto: 

set admin user nombre1 password xyz 

Los comandos aparecen en tipo negrita. 

Las variables aparecen en tipo cursiva . 

NOTA: Para escribir palabras clave, basta con escribir los primeros caracteres que 

permitan al sistema reconocer de forma inequívoca la palabra que se está 

introduciendo. Por ejemplo, es suficiente escribir set adm u kath j12fmt54 para 

que el sistema reconozca el comando set admin user kathleen j12fmt54. 

Aunque este método se puede utilizar para introducir comandos, en la presente 

documentación todos ellos se representan con sus palabras completas.

Convenciones para las ilustraciones 

Figura 1: Imágenes en las ilustraciones del manual 


Las siguientes figuras conforman el conjunto básico de imágenes utilizado en las 

ilustraciones de este manual. 

Sistema autónomo 

Dispositivo de seguridad general 

Dominio de enrutamiento virtual 

Zona de seguridad 

Interfaz de la zona de seguridad 

Blanca = Interfaz de zona protegida 

(ejemplo = zona Trust) 

Negro = interfaz de zona externa 

(ejemplo = zona Untrust) 

Interfaz de túnel 

Túnel VPN 

Enrutador 

Conmutador 

Red de área local (LAN) con 

una única subred (ejemplo: 

10.1.1.0/24) 

Internet 

Rango de direcciones IP 

dinámicas (DIP) 

Equipo de escritorio 

Equipo portátil 

Dispositivo de red genérico 

(ejemplos: servidor NAT, 

concentrador de acceso) 

Servidor 

Concentrador (hub) 

Teléfono IP 

Convenciones del documento xi


Convenciones de nomenclatura y conjuntos de caracteres 

xii Convenciones del documento 

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos 

(como direcciones, usuarios administradores, servidores de autenticación, puertas 

de enlace IKE, sistemas virtuales, túneles de VPN y zonas) definidas en las 

configuraciones de ScreenOS: 

Si una cadena de nombres incluye uno o más espacios, la cadena completa 

deberá entrecomillarse mediante comillas dobles ( “ ); por ejemplo: 

set address trust “local LAN” 10.1.1.0/24 

Se eliminará cualquier espacio al comienzo o al final de una cadena 

entrecomillada; por ejemplo, “ local LAN” se transformará en “local LAN”. 

Los espacios consecutivos múltiples se tratan como uno solo. 

En las cadenas de nombres se distingue entre mayúsculas y minúsculas; por el 

contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. 

Por ejemplo, “local LAN” es distinto de “local lan”. 

ScreenOS admite los siguientes conjuntos de caracteres: 

Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de 

múltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres 

ASCII, europeo y hebreo. Entre los conjuntos MBCS, también conocidos como 

conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el 

coreano y el japonés. 

Caracteres ASCII desde el 32 (0x20 en notación hexadecimal) al 255 (0xff); a 

excepción de las comillas dobles ( “ ), que tienen un significado especial como 

delimitadores de cadenas de nombres que contengan espacios. 

NOTA: Una conexión de consola sólo admite conjuntos SBCS. La WebUI admite tanto 

SBCS como MBCS, según el conjunto de caracteres que admita el explorador.

Convenciones de la interfaz gráfica (WebUI) 


Una comilla angular ( > ) muestra la secuencia de navegación a través de WebUI, a 

la que puede llegar mediante un clic en las opciones de menú y vínculos. La 

siguiente figura muestra la siguiente ruta para abrir el cuadro de diálogo de 

configuración de direcciones—Objects > Addresses > List > New: 

Figura 2: Navegación de WebUI 

Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de 

diálogo apropiado, donde podrá definir objetos y establecer parámetros de ajuste. 

El conjunto de instrucciones de cada tarea se divide en ruta de navegación y ajustes 

de configuración: 

La siguiente figura muestra la ruta al cuadro de diálogo de configuración de 

direcciones con los siguientes ajustes de configuración de muestra: 

Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic 

en OK: 

Address Name: addr_1 

IP Address/Domain Name: 

IP/Netmask: (seleccione), 10.2.2.5/32 

Zone: Untrust 

Figura 3: Ruta de navegación y ajustes de configuración 

Convenciones del documento xiii


Documentación de Juniper Networks 

xiv Documentación de Juniper Networks 

Para obtener documentación técnica sobre cualquier producto de Juniper Networks, 

visite www.juniper.net/techpubs/. 

Para obtener soporte técnico, abra un expediente de soporte utilizando el vínculo 

“Case Manager” en la página Web http://www.juniper.net/support/ o llame al 

teléfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama 

desde fuera de los EE.UU.). 

Si encuentra algún error u omisión en este documento, póngase en contacto con 

nosotros a través de la siguiente dirección de correo electrónico: 

techpubs-comments@juniper.net

Capítulo 1 

Enrutamiento estático 

Este capítulo explica el enrutamiento estático y explica cuándo y cómo configurar 

rutas estáticas. Contiene las siguientes secciones: 

“Vista general” en la página 2 

“Cómo funciona el enrutamiento estático” en la página 2 

“Cuándo configurar rutas estáticas” en la página 3 

“Configurar rutas estáticas” en la página 5 

“Habilitar el seguimiento de las puertas de enlace” en la página 9 

“Reenviar tráfico a la interfaz nula” en la página 10 

“Impedir búsqueda de rutas en otras tablas de enrutamiento” en la 

página 10 

“Impedir que el tráfico de túnel se envíe a través de interfaces que no sean 

de túnel” en la página 10 

“Impedir la creación de bucles por las rutas resumidas” en la página 11 

“Rutas permanentemente activas” en la página 11 

“Cambiar la preferencia de enrutamiento con rutas múltiples de igual coste” en 

la página 12 

1


Vista general 

2 Vista general 

Una ruta estática es una asignación configurada manualmente de una dirección de 

red IP a un destino de salto siguiente (otro enrutador) que se define en un 

dispositivo de reenvío de capa 3, como un enrutador. 

En una red que tiene pocas conexiones a otras redes o en las redes cuyas 

interconexiones de red son relativamente estables, suele resultar más práctico 

definir rutas estáticas que rutas dinámicas. ScreenOS mantiene las rutas estáticas 

hasta que se eliminan explícitamente. No obstante, cuando sea necesario se puede 

dar prioridad a rutas dinámicas frente a las estáticas. 

Puede ver rutas estáticas en la tabla de enrutamiento ScreenOS. Para forzar el 

equilibrio de cargas, puede configurar Equal Cost Multi-Path (ECMP). Para utilizar 

únicamente puertas de enlace activas, puede establecer el seguimiento de las 

puertas de enlace. 

Debe establecer por lo menos una ruta predeterminada como una ruta 

predeterminada (dirección de red 0.0.0.0/0). Una ruta predeterminada es una 

entrada comodín para los paquetes destinados a redes distintas de las definidas en 

la tabla de enrutamiento. 

Cómo funciona el enrutamiento estático 

Cuando un host envía paquetes a un host de otra red, cada encabezado de paquete 

contiene la dirección del host de destino. Cuando un enrutador recibe un paquete, 

compara la dirección de destino con todas las direcciones existentes en la tabla de 

enrutamiento. El enrutador selecciona en la tabla la ruta más específica a la 

dirección de destino y, a partir de la entrada de ruta seleccionada, determina el 

siguiente salto (“next-hop”) al que debe reenviar el paquete. 

NOTA: La ruta más específica se determina aplicando en primer lugar el operador lógico 

AND bit por bit a la dirección de destino y a la máscara de red de cada entrada 

existente en la tabla de enrutamiento. Por ejemplo, el AND lógico bit por bit de la 

dirección IP 10.1.1.1 con la máscara de subred 255.255.255.0 es 10.1.1.0. La ruta 

que tenga el mayor número de bits con el valor 1 en la máscara de subred será la 

más específica (también denominada “ruta con la mayor coincidencia”). 

La Figura 4 representa una red que utiliza enrutamiento estático y un paquete IP de 

muestra. En este ejemplo, el host 1 de la red A desea acceder al host 2 de la red C. 

El paquete que se enviará incluye los siguientes datos en el encabezado: 

Dirección IP de origen 

Dirección IP destino 

Carga (mensaje)

Figura 4: Ejemplo de enrutamiento estático 

IP 

ORIG 

IP 

DEST 

Host 1 Host 2 Carga de datos 

Host 1 

Enrutador X 

Cuándo configurar rutas estáticas 

Enrutador Y 

Red A Red B Red C 

Capítulo 1: Enrutamiento estático 

Enrutador Z Host 2 

La Tabla 1 resume la tabla de enrutamiento de cada enrutador. 

Tabla 1: Resumen de la tabla de enrutamiento para los enrutadores X, Y y Z 

Enrutador X Enrutador Y Enrutador Z 

Red 

Puerto de 

enlace Red 

Puerto de 

enlace Red 

Puerto de 

enlace 

Red A Conectado Red A Enrutador X Red A Enrutador X 

Red B Conectado Red B Conectado Red B Conectado 

Red C Enrutador Y Red C Conectado Red C Conectado 

En la Tabla 1, el enrutador X tiene configurada una ruta estática hacia la red C con 

la puerta de enlace (siguiente salto) como enrutador Y. Cuando el enrutador X 

recibe el paquete destinado al host 2 de la red C, compara la dirección de destino 

del paquete con el contenido de su tabla de enrutamiento y detecta que la última 

entrada corresponde a la ruta más específica para la dirección de destino. En la 

última entrada de ruta se especifica que el tráfico destinado a la red C debe enviarse 

al enrutador Y para su entrega. El enrutador Y recibe el paquete y, como conoce que 

la red C está conectada directamente, envía el paquete a través de la interfaz 

conectada a esa red. 

Si el enrutador Y falla o si la conexión entre el enrutador Y y la red C deja de estar 

disponible, el paquete no puede alcanzar el host 2. Aunque existe otra ruta hacia la 

red C a través del enrutador Z, no está configurada de forma estática en el 

enrutador X, por lo que éste no detecta la ruta alternativa. 

Tiene que definir por lo menos algunas rutas estáticas incluso cuando utilice 

protocolos de enrutamiento dinámicos. Es necesario definir rutas estáticas cuando 

se cumplen condiciones como las siguientes: 

Para agregar una ruta predeterminada (0.0.0.0/0) a la tabla de enrutamiento de 

un enrutador virtual (VR) es necesario definir una ruta estática. Por ejemplo, si 

está utilizando dos VR en el mismo dispositivo de seguridad, la tabla de 

enrutamiento de trust-vr podría contener una ruta predeterminada que 

especificaría untrust-vr como el salto siguiente. Esto permitiría enrutar hacia 

untrust-vr el tráfico destinado a direcciones no expresadas en la tabla de 

enrutamiento de trust-vr. También puede definir una ruta predeterminada en 

untrust-vr para desviar el tráfico de la dirección IP específica a direcciones no 

encontradas en la tabla de enrutamiento de untrust-vr. 

Vista general 3



Si una red no está conectada directamente con el dispositivo de seguridad pero 

es accesible a través de un enrutador de una interfaz contenida en un enrutador 

virtual (VR), debe definirse una ruta estática hacia la red que contenga la 

dirección IP del enrutador. Por ejemplo, la interfaz de zona Untrust puede ser 

una subred con dos enrutadores, cada uno de los cuales se conecta a diferentes 

proveedores de servicio de Internet (ISP). Debe definir cuál enrutador va a 

utilizar para reenviar el tráfico a ISP específicos. 

Si está utilizando dos VRs en el mismo dispositivo de seguridad y llega tráfico 

entrante a una interfaz de untrust-vr destinado a una red conectada a una 

interfaz de trust-vr, deberá definir una entrada estática en la tabla de 

enrutamiento de untrust-vr para la red de destino, indicando trust-vr como salto 

siguiente. Puede evitar establecer una ruta estática en este caso, si exporta las 

rutas de trust-vr a untrust-vr. 

Cuando el dispositivo trabaja en modo transparente, es necesario definir rutas 

estáticas que dirijan el tráfico administrativo originado en el dispositivo mismo 

(distinto del tráfico de usuario que pasa por el cortafuegos) a los destinos 

remotos. Por ejemplo, deberá definir rutas estáticas que dirijan los mensajes de 

syslog, SNMP y WebTrends a la dirección de un administrador remoto. También 

deberá definir rutas que dirijan las peticiones de autenticación a los servidores 

RADIUS, SecurID y LDAP, y las comprobaciones de URL al servidor Websense. 

NOTA: Cuando el dispositivo de seguridad trabaja en modo transparente, es necesario 

definir una ruta estática para el tráfico administrativo generado por el dispositivo 

incluso aunque el destino se encuentre en la misma subred que éste. 

Para el tráfico de Red privada virtual (VPN) saliente donde exista más de una 

interfaz de salida hacia el destino, deberá establecer una ruta para dirigir el 

tráfico saliente al enrutador externo a través de la interfaz deseada. 

Si una interfaz en una zona de seguridad de trust-vr es NAT, y si esa interfaz 

tiene configurada una IP asignada (MIP) o IP virtual (VIP) para recibir tráfico 

procedente de un origen en el dominio de enrutamiento untrust-vr, deberá 

crear una ruta a la MIP o VIP en untrust-vr que apunte a trust-vr como puerta de 

enlace. 

De forma predeterminada, el dispositivo de seguridad utiliza direcciones IP de 

destino para encontrar la mejor ruta por la que reenviar paquetes. En un VR, 

también puede habilitar tablas de enrutamiento basadas en orígenes o basadas 

en interfaces de origen. Ambas tablas de enrutamiento, las basadas en orígenes 

y las basadas en interfaces de origen, contienen las rutas estáticas que usted 

configura en el VR.

Configurar rutas estáticas 

Para configurar una ruta estática se necesita definir lo siguiente: 

Enrutador virtual (VR) al que pertenece la ruta. 

La dirección IP y la máscara de red de la red de destino. 


El salto siguiente para la ruta, que puede ser otro VR en el dispositivo de 

seguridad o la dirección IP de una puerta de enlace (enrutador). Si especifica 

otro VR, asegúrese de que en su tabla de enrutamiento exista una entrada para 

la red de destino. 

La interfaz a través de la cual se reenvía el tráfico enrutado. La interfaz puede 

ser cualquier interfaz compatible con ScreenOS, como una interfaz física (por 

ejemplo, ethernet1/2) o una interfaz de túnel. También puede especificar la 

interfaz nula para determinadas aplicaciones. Consulte “Reenviar tráfico a la 

interfaz nula” en la página 10. 

Opcionalmente, puede definir los siguientes elementos: 

La métrica de ruta se utiliza para seleccionar la ruta activa cuando existen 

varias rutas hacia la misma red de destino y todas con el mismo valor de 

preferencia. La métrica predeterminada para las rutas estáticas es 1. 

Una etiqueta de ruta es un valor que se puede utilizar como filtro al redistribuir 

rutas. Por ejemplo, puede seleccionar importar solamente aquellas rutas que 

contengan valores de etiqueta especificados a un VR. 

Valor de preferencia para la ruta. De forma predeterminada, todas las rutas 

estáticas tienen el mismo valor de preferencia que se establece en el VR. 

Si la ruta es permanente (se mantiene activa aunque la interfaz del reenvío esté 

inactiva o se haya eliminado la dirección IP de la interfaz). 

Esta sección contiene los siguientes ejemplos: 

“Ajustar rutas estáticas” en esta página 

“Establecer una ruta estática para una interfaz de túnel” en la página 8 

Ajustar rutas estáticas 

En la Figura 5 en la página 6, un dispositivo de seguridad que opera con su interfaz 

de zona Trust en modo de traducción de direcciones de red (NAT) protege una red 

de múltiples niveles. Se utiliza tanto administración local como remota (a través de 

NetScreen-Security Manager). El dispositivo de seguridad envía capturas SNMP e 

informes syslog al administrador local (situado en una red de la zona Trust) y envía 

informes de NetScreen-Security Manager al administrador remoto (situado en una 

red de la zona Untrust). El dispositivo utiliza un servidor SecurID en la zona 

desmilitarizada (DMZ) para autenticar usuarios y un servidor Websense en la zona 

Trust para realizar el filtrado de web. 

NOTA: Las siguientes zonas deben vincularse antes de que se complete este ejemplo: 

ethernet1 a la zona Trust, ethernet2 a la zona DMZ y ethernet3 a la zona Untrust. 

Las direcciones IP de las interfaces son 10.1.1.1/24, 2.2.10.1/24 y 2.2.2.1/24, 

respectivamente. 

Vista general 5

5 

Ruta 

predeterminada 


Figura 5: Configuración de rutas estáticas 


Dominio de 

enrutamiento virtual 

Dispositivo de 

seguridad 

Zona Untrust 

Administración local 

10.10.30.5/32 

Las tablas de enrutamiento trust-vr y untrust-vr deben incluir rutas para los 

siguientes destinos: 

untrust-vr 

1. Puerta de enlace predeterminada hacia Internet (ruta predeterminada para el 

VR) 

2. Administrador remoto en la subred 3.3.3.0/24 

3. La subred 2.2.40.0/24 en DMZ 

4. La subred 2.20.0.0/16 en DMZ 

trust-vr 

5. untrust-vr para todas las direcciones no encontradas en la tabla de 

enrutamiento de trust-vr (ruta predeterminada para el VR) 

6. La subred 10.10.0.0/16 en la zona Trust 



200.20.2.2/24 

2.2.2.2/24 

Internet 

2.2.2.0/24 

10.1.1.0/24 

10.20.1.0/24 

3.3.3.10/32 

3.3.3.0/24 

3.3.3.1/24 

2.2.2.3/24 

6 

10.1.1.2/24 

10.10.30.1/24 

10.10.30.1/24 

10.1.1.4/24 

10.30.1.1/24 

10.1.1.3/24 

10.20.1.1/24 8 

10.10.30.0/24 10.10.40.0/24 

7 

10.30.1.0/24 

1 

10.20.1.1/24 

10.20.3.1/24 

10.20.4.1/24 

10.20.3.0/24 10.20.4.0/24 

Zona Trust 

Administración remota 

NetScreen-Security Manager 

2 

Servidor Websense 

10.30.4.7/32 

Dominio de 

enrutador 

virtual 

2.2.10.0/24 

2.2.10.0/24 

2.2.40.1/24 

3 

2.2.45.7/32 

2.2.40.0/24 

trust-vr 

untrust-vr 

DMZ 

2.2.10.3/24 

2.20.30.1/24 

4 

2.20.30.0/24 

2.20.30.2/24 

2.20.3.1/24 

2.20.4.1/24 

2.20.3.0/24 2.20.4.0/24 

= Enrutador 

= Conmutador/Hub

WebUI 


1. untrust-vr 

Network > Routing > Routing Entries > untrust-vr New: Introduzca los 

siguientes datos para crear la puerta de enlace predeterminada untrust y haga 

clic en OK: 

Network Address / Netmask: 0.0.0.0/0 

Gateway: (seleccione) 

Interface: ethernet3 

Gateway IP Address: 2.2.2.2 


siguientes datos para dirigir los informes del sistema generados por el 

dispositivo de seguridad a la administración remota, luego haga clic en OK: 






siguientes datos y haga clic en OK: 











2. trust-vr 

Network > Routing > Routing Entries > trust-vr New: Introduzca los 



Next Hop Virtual Router Name: (seleccione); untrust-vr 













Vista general 7



CLI 

Figura 6: Ruta estática para una interfaz de túnel 

Zona Trust 







NOTA: Para eliminar una entrada, haga clic en Remove. Aparecerá un mensaje pidiendo 

confirmación para realizar la eliminación. Haga clic en OK para continuar o en 

Cancel para cancelar la acción. 

1. untrust-vr 

set vrouter untrust-vr route 0.0.0.0/0 interface ethernet3 gateway 2.2.2.2 




2. trust-vr 

set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr 

set vrouter trust-vr route 10.10.0.0/16 interface ethernet1 gateway 10.1.1.2 



save 

Establecer una ruta estática para una interfaz de túnel 

En la Figura 6, un host fiable reside en una subred diferente de la interfaz fiable. Un 

servidor del Protocolo de transferencia de archivos (FTP) recibe tráfico entrante a 

través de un túnel VPN. Se necesita establecer una ruta estática para dirigir el tráfico 

que sale por la interfaz de túnel al enrutador interno que conduce a la subred donde 

reside el servidor. 

Interfaz Trust 

ethernet1 

10.1.1.1/24 

tunnel.1 

10.10.1.1/24 

Interfaz Untrust 

ethernet3 

1.1.1.1/24 

Enrutador 

1.1.1.250 

Internet 

Túnel VPN 

WebUI 




Zona Untrust 

Servidor FTP 

10.2.2.5

CLI 


Interface: tunnel.1 









NOTA: Para que tunnel.1 aparezca en la lista desplegable “Interface”, primero debe crear 

la interfaz tunnel.1. 

set vrouter trust-vr route 10.2.2.5/32 interface tunnel.1 


save 

Habilitar el seguimiento de las puertas de enlace 

El dispositivo de seguridad permite que se dé seguimiento a las rutas estáticas 

independientes de la interfaz con puertas de enlace para obtener accesibilidad. No 

se da seguimiento a las rutas estáticas de forma predeterminada, pero usted puede 

configurar un dispositivo de seguridad para dar seguimiento a la accesibilidad de las 

rutas de las puertas de enlace. El dispositivo registra las rutas seguidas ya sea 

activas o inactivas, dependiendo de la accesibilidad de cada puerta de enlace. Por 

ejemplo, si no se puede obtener acceso a una puerta de enlace, el dispositivo de 

seguridad cambia la ruta a inactiva. Cuando la puerta de enlace se vuelve a activar, 

la ruta vuelva a activarse también. 

Para agregar una ruta estática con el seguimiento de la puerta de enlace, deberá 

establecer explícitamente la ruta a nivel del enrutador virtual (VR) y en la dirección 

de la puerta de enlace. No establezca una dirección IP para la interfaz. 

Puede utilizar este comando para agregar una ruta estática con una puerta de 

enlace de seguimiento para la dirección IP 1.1.1.254 con prefijo 1.1.1.0 y una 

longitud de 24. Establezca el seguimiento de la puerta de enlace al ingresar la 

dirección IP de la puerta de enlace pero no establezca la interfaz. 

WebUI 

Network > Routing > Routing Entries: Haga clic en New e ingrese lo siguiente: 



CLI 

set vrouter trust route 1.1.1.0/24 gateway 1.1.1.254 

unset vrouter trust route 1.1.1.0/24 gateway 1.1.1.254 

save 

Vista general 9


Reenviar tráfico a la interfaz nula 

10 Reenviar tráfico a la interfaz nula 

Puede configurar rutas estáticas usando la interfaz nula como interfaz de salida. La 

interfaz nula siempre se considera activa y el tráfico destinado a la interfaz nula 

siempre se descarta. Para convertir la ruta a la interfaz nula en una ruta de último 

recurso, defínala con una métrica más alta que la de las demás rutas. Los tres 

propósitos para utilizar rutas estáticas que reenvían tráfico a la interfaz nula son los 

siguientes: 

Impedir búsqueda de rutas en otras tablas de enrutamiento 

Impedir que el tráfico del túnel se envíe en interfaces que no sean de túnel 

Evitar bucles de tráfico 

Impedir búsqueda de rutas en otras tablas de enrutamiento 

Si se habilita el enrutamiento basado en interfaz de origen, de forma 

predeterminada el dispositivo de seguridad realiza operaciones de búsqueda en la 

tabla de enrutamiento basada en la interfaz de origen. (Para obtener información 

sobre la configuración del enrutamiento basado interfaz de origen, consulte “Tabla 

de enrutamiento basada en la interfaz de origen” en la página 20.). Si la ruta no se 

encuentra en la tabla de enrutamiento basada en la interfaz de origen y si el 

enrutamiento basado en el origen no está activado, el dispositivo de seguridad 

realiza operaciones de búsqueda de ruta en la tabla de enrutamiento basada en el 

origen. Si la ruta no se encuentra en la tabla de enrutamiento basada en el origen, el 

dispositivo de seguridad realiza operaciones de búsqueda de la ruta en la tabla de 

enrutamiento basada en los destinos. Si desea evitar las operaciones de búsqueda 

de rutas en la tabla de enrutamiento basada en el origen o en la tabla de 

enrutamiento basada en los destinos, puede crear una ruta predeterminada en la 

tabla de enrutamiento basada en le interfaz de origen con la interfaz nula como la 

interfaz de salida. Utilice una métrica más alta que el resto de las rutas para 

asegurar que esta ruta sólo se utilice si no existe ninguna otra ruta basada en la 

interfaz que coincida con la ruta. 

Impedir que el tráfico de túnel se envíe a través de interfaces que no sean de túnel 

Puede utilizar las rutas estáticas o dinámicas con las interfaces de túnel de salida 

para encriptar el tráfico dirigido a destinos específicos. Si una interfaz de túnel se 

queda inactiva, todas las rutas definidas en la interfaz se quedan inactivas. Si hay 

una ruta alternativa en una interfaz que no sea de túnel, el tráfico no se envía 

encriptado. Para impedir que el tráfico que debe estar encriptado se envíe a una 

interfaz que no sea de túnel, defina una ruta estática al mismo destino que el tráfico 

del túnel con la interfaz nula como interfaz de salida. Asigne a esta ruta una métrica 

más alta que la de la ruta de la interfaz de túnel de modo que la ruta solamente se 

active si la ruta de la interfaz de túnel no está disponible. Si la interfaz de túnel se 

queda inactiva, la ruta con la interfaz nula se activa y el tráfico para el destino del 

túnel se descarta.

Impedir la creación de bucles por las rutas resumidas 

Rutas permanentemente activas 


Cuando el dispositivo de seguridad anuncia rutas resumidas, es posible que el 

dispositivo reciba el tráfico destinado a prefijos que no se encuentran en sus tablas 

de enrutamiento. Puede reenviar el tráfico basado en su ruta predeterminada. El 

enrutador de recepción puede reenviar el tráfico de nuevo al dispositivo de 

seguridad debido a el anuncio de la ruta resumida. Para evitar dichos bucles, puede 

definir una ruta estática para el prefijo de la ruta resumida con la interfaz nula como 

la interfaz de salida y una métrica de ruta alta. Si el dispositivo de seguridad recibe 

el tráfico para los prefijos que se encuentren en su anuncio de ruta resumida pero 

no en sus tablas de enrutamiento, se descarta el tráfico. 

En este ejemplo establecerá una interfaz NULL para la ruta resumida creada hacia la 

red 2.1.1.0/24 del ejemplo anterior. Dentro de la red 2.1.1.0/24 se encuentran los 

hosts 2.1.1.2, 2.1.1.3 y 2.1.1.4. Cualquier paquete dirigido a 2.1.1.10 caerá en el 

rango de la ruta resumida. El dispositivo de seguridad acepta estos paquetes pero 

no tiene a dónde reenviarlos, salvo de vuelta al origen, lo que inicia un bucle de red. 

Para evitar este comportamiento, establecerá una interfaz NULL para esta ruta. 

Establecer una preferencia y métrica elevadas es importante al establecer una 

interfaz NULL. 

WebUI 





Interface: Null 


Preference: 255 

Metric: 65535 

CLI 

set vrouter trust-vr route 2.1.1.0/24 interface null preference 255 metric 65535 

save 

Hay ciertas situaciones en las que posiblemente desee que una ruta mantenga su 

estado activo en una tabla de enrutamiento incluso si la interfaz física asociada a la 

ruta se queda inactiva o no tiene una dirección IP asignada. Por ejemplo, un 

servidor XAuth puede asignar una dirección IP a una interfaz en un dispositivo de 

seguridad siempre que se necesite enviar tráfico al servidor. La ruta hacia el 

servidor de XAuth debe mantenerse activa incluso cuando no haya dirección IP 

asignada en la interfaz de modo que el tráfico que está destinado al servidor XAuth 

no se descarte. 

También es útil mantener activas las rutas a través de las interfaces en las que se 

configura el seguimiento de IP. El seguimiento de IP permite que el dispositivo de 

seguridad reencamine el tráfico saliente a través de una interfaz diferente si las 

direcciones IP de destino no se pueden alcanzar a través de la interfaz original. Aun 

cuando el dispositivo de seguridad puede reencaminar el tráfico a otra interfaz, 

necesita ser capaz de enviar peticiones del comando ping en la interfaz original 

para determinar si los destinos llegan a ser otra vez accesibles. 

Rutas permanentemente activas 11


Cambiar la preferencia de enrutamiento con rutas múltiples de igual coste 

También puede cambiar la preferencia de enrutamiento de las rutas estáticas con 

Equal Cost Multipath (ECMP). Para obtener más información, consulte “Configurar 

el enrutamiento de rutas múltiples de igual coste” en la página 37. 

12 Cambiar la preferencia de enrutamiento con rutas múltiples de igual coste

Capítulo 2 

Enrutamiento 

Este capítulo describe la administración del enrutamiento y del enrutador virtual 

(VR). Contiene las siguientes secciones: 


“Tablas de enrutamiento del enrutador virtual” en la página 15 

“Tabla de enrutamiento basada en destinos” en la página 16 

“Tabla de enrutamiento basada en el origen” en la página 17 

“Tabla de enrutamiento basada en la interfaz de origen” en la página 20 

“Crear y modificar enrutadores virtuales” en la página 22 

“Modificar enrutadores virtuales” en la página 22 

“Asignar una ID del enrutador virtual” en la página 23 

“Reenviar tráfico entre enrutadores virtuales” en la página 23 

“Configurar dos enrutadores virtuales” en la página 24 

“Crear y eliminar enrutadores virtuales” en la página 26 

“Enrutadores virtuales y sistemas virtuales” en la página 27 

“Limitar el número máximo de entradas de la tabla de enrutamiento” en la 

página 30 

“Ejemplos y características del enrutamiento” en la página 31 

“Seleccionar rutas” en la página 31 

“Configurar el enrutamiento de rutas múltiples de igual coste” en la 

página 37 

“Redistribuir rutas” en la página 39 

“Exportar e importar rutas entre enrutadores virtuales” en la página 44 

13


Vista general 


El enrutamiento es el proceso de reenviar paquetes de una red a otra hasta que 

alcanzan su destino final. Un enrutador es un dispositivo que está donde una red se 

encuentra con otra y dirige el tráfico entre esas redes. 

De forma predeterminada, un dispositivo de seguridad entra al modo de 

funcionamiento de ruta y opera como un enrutador de capa 3. Sin embargo, puede 

configurar un dispositivo de seguridad para que funcione en modo transparente 

como un conmutador de capa 2. 

NOTA: En cualquier modo de funcionamiento, tendrá que configurar manualmente 

algunas rutas. 

Los dispositivos de seguridad de Juniper Networks logran enrutarse a través de un 

proceso llamado enrutador virtual (VR). Un dispositivo de seguridad divide sus 

componentes de enrutamiento en dos o más VRs y cada VR mantiene su propia 

lista de redes conocidas en forma de una tabla de enrutamiento, lógica de 

enrutamiento y zonas de seguridad relacionadas. Un solo VR puede admitir una o 

más de las siguientes rutas: 

Rutas estáticas o configuradas manualmente 

Rutas dinámicas, como las que se aprenden por medio de un protocolo de 

enrutamiento dinámico. 

Rutas multicast, como una ruta a un grupo de máquinas host 

Los dispositivos de seguridad de Juniper Networks tienen dos VRs predefinidos: 

trust-vr, que de forma predeterminada contiene todas las zonas de seguridad 

predefinidas y todas las zonas definidas por el usuario. 

untrust-vr, que de forma predeterminada no contiene ninguna zona de 

seguridad. 

No se pueden eliminar los enrutadores virtuales trust-vr ni untrust-vr. Pueden existir 

varios VR, pero trust-vr es el predeterminado. En la tabla de VR, un asterisco (*) 

indica que trust-vr es el VR predeterminado en la interfaz de línea de comandos 

(CLI). Puede ver la tabla de VR ejecutando el comando CLI get vrouter. Para 

configurar zonas e interfaces en otros VR, debe especificar el VR por nombre, por 

ejemplo untrust-vr. Para obtener información sobre las zonas, consulte “Crear y 

eliminar enrutadores virtuales” en la página 7-26. 

Algunos dispositivos de seguridad permiten crear otros VRs personalizados. Al 

separar la información de enrutamiento en varios VRs, podrá controlar cuánta 

información sobre enrutamiento puede verse en otros dominios de enrutamiento. 

Por ejemplo, se puede mantener la información de enrutamiento de todas las zonas 

de seguridad de una red corporativa en el VR predefinido trust-vr y la información 

de enrutamiento de todas las zonas fuera de la red corporativa en el otro VR 

predefinido untrust-vr. Se puede mantener la información sobre enrutamiento de 

redes internas separada de las fuentes no fiables fuera de la empresa porque los 

detalles de la tabla de enrutamiento de un VR no se pueden ver en la otra.

Tablas de enrutamiento del enrutador virtual 

Capítulo 2: Enrutamiento 

En un dispositivo de seguridad, cada VR mantiene sus propias tablas de 

enrutamiento. Una tabla de enrutamiento es una lista actualizada de redes y 

direcciones conocidas, desde donde se puede obtener acceso a éstas. Cuando se 

procesa un dispositivo de seguridad en un paquete entrante, éste realiza una 

consulta en la tabla de enrutamiento para buscar la interfaz apropiada que 

conduzca a la dirección de destino. 

Cada entrada de la tabla de enrutamiento identifica la red destino a la que se puede 

reenviar el tráfico. La red destino puede ser una red IP, una subred, una supernet o 

un host. Cada entrada de la tabla de enrutamiento puede ser unicast (paquete 

enviado a una sola dirección IP que hace referencia a una sola máquina host) o 

multicast (paquete enviado a una sola dirección IP que hace referencia a varias 

máquinas host). 

Las entradas de la tabla de enrutamiento pueden provenir de los siguientes 

orígenes: 

Redes interconectadas directamente (la red de destino es la dirección IP 

asignada a una interfaz en el modo de ruta) 

Protocolos de enrutamiento dinámico, como Open Shortest Path First (OSPF), 

Border Gateway Protocol (BGP) o Routing Information Protocol (RIP) 

Otros enrutadores o enrutadores virtuales en forma de rutas importadas 

Rutas configuradas estáticamente 

Rutas host 

NOTA: Cuando se establece una dirección IP para identificar una interfaz en el modo de 

ruta, la tabla de enrutamiento conecta automáticamente una ruta hacia la subred 

adyacente para canalizar el tráfico que pasa por la interfaz. 

Un VR admite tres tipos de tablas de enrutamiento: 

La tabla de enrutamiento basada en destinos permite al dispositivo de 

seguridad realizar operaciones de consulta de rutas basándose en la dirección 

IP de destino de un paquete de datos entrante. De forma predeterminada, el 

dispositivo de seguridad utiliza únicamente direcciones IP de destino para 

encontrar la mejor ruta por la cual reenviar paquetes. 

La tabla de enrutamiento basada en orígenes permite al dispositivo de 

seguridad realizar operaciones de consulta de rutas basándose en la dirección 

IP de origen de un paquete de datos entrante. Para agregar entradas a la tabla 

de enrutamiento basada en orígenes, debe configurar rutas estáticas para 

direcciones de origen específicas en las que el dispositivo de seguridad puede 

realizar operaciones de consulta de rutas. De forma predeterminada, esta tabla 

de enrutamiento está inhabilitada. Consulte “Tabla de enrutamiento basada en 

el origen” en la página 17. 

Tablas de enrutamiento del enrutador virtual 15


16 Tablas de enrutamiento del enrutador virtual 

La tabla de enrutamiento basada en orígenes permite al dispositivo de 

seguridad realizar las operaciones de consulta de rutas basándose en la interfaz 

por la cual un paquete de datos entra al dispositivo. Para agregar entradas a la 

tabla de enrutamiento basada en orígenes, debe configurar rutas estáticas para 

determinadas interfaces en las que el VR realiza operaciones de consulta de 

rutas. De forma predeterminada, esta tabla de enrutamiento está inhabilitada. 

Consulte “Tabla de enrutamiento basada en la interfaz de origen” en la 

página 20. 

Tabla de enrutamiento basada en destinos 

La tabla de enrutamiento basada en destinos está siempre presente en un VR. 

Además, puede habilitar tablas de enrutamiento basadas en orígenes o en 

interfaces de origen, o bien ambas, en un VR. A continuación se incluye un ejemplo 

de tablas de enrutamiento basadas en destino de ScreenOS: 

ns-> get route 

IPv4 Dest-Routes for (0 entries) 

-------------------------------------------------------------------------------- 

H: Host C: Connected S: Static A: Auto-Exported 

I: Imported R: RIP P: Permanent D: Auto-Discovered 

iB: IBGP eB: EBGP O: OSPF E1: OSPF external type 1 

E2: OSPF external type 2 

IPv4 Dest-Routes for (11 entries) 

-------------------------------------------------------------------------------- 

ID IP-Prefix Interface Gateway P Pref Mtr Vsys 

-------------------------------------------------------------------------------- 

* 8 0.0.0.0/0 eth1/1 10.100.37.1 S 20 1 Root 

* 7 1.1.1.1/32 eth1/2 0.0.0.0 H 0 0 Root 

* 3 192.168.1.1/32 mgt 0.0.0.0 H 0 0 Root 

* 2 192.168.1.0/24 mgt 0.0.0.0 C 0 0 Root 

* 4 10.100.37.0/24 eth1/1 0.0.0.0 C 0 0 Root 

* 5 10.100.37.170/32 eth1/1 0.0.0.0 H 0 0 Root 

* 6 1.1.1.0/24 eth1/2 0.0.0.0 C 0 0 Root 

* 9 11.3.3.0/24 agg1 0.0.0.0 C 0 0 Root 

* 10 11.3.3.0/32 agg1 0.0.0.0 H 0 0 Root 

* 11 3.3.3.0/24 tun.1 0.0.0.0 C 0 0 Root 

* 12 3.3.3.0/32 tun.1 0.0.0.0 H 0 0 Root 

La tabla de enrutamiento contiene la siguiente información de cada red de destino: 

La interfaz del dispositivo de seguridad a través del que se reenvía el tráfico a la 

red de destino. 

El siguiente salto (“next-hop”), que puede ser otro VR en el dispositivo de 

seguridad o la dirección IP de una puerta de enlace (normalmente la dirección 

de un enrutador). 

El protocolo del cual se deriva la ruta. La columna del protocolo de la tabla de 

enrutamiento le permite conocer el tipo de ruta: 

Red conectada (C) 

Estática (S) 

De exportación automática (A)

Importada (I) 


Los protocolos de enrutamiento dinámico, como RIP (R), Open Shortest 

Path First u OSPF (O), tipo externo 1 y 2 de OSPF (E1 o E2, 

respectivamente), Border Gateway Protocol interno o externo (iB o eB, 

respectivamente) 

Permanente (P) 

Host (H) 

Una entrada de ruta host con una máscara de 32 bits aparece cuando 

configura cada interfaz con una dirección IP. La ruta host siempre está 

activa en la tabla de rutas para que la consulta de rutas siempre tenga éxito. 

Las rutas host se actualizan automáticamente con cambios configurados, 

como por ejemplo la eliminación de la dirección IP de interfaz y éstas 

nunca se redistribuyen ni se exportan. Las rutas host descartan la 

posibilidad de que exista tráfico errante y conservan la capacidad de 

procesamiento. 

La preferencia se utiliza para seleccionar la ruta a utilizar cuando existen varias 

rutas hacia la misma red de destino. Este valor lo determina el protocolo o el 

origen de la ruta. Cuanto menor sea el valor de preferencia de una ruta, más 

posibilidades existen de que esa ruta se seleccione como ruta activa. 

Este valor de preferencia se puede modificar en cada enrutador virtual para 

cada protocolo u origen de ruta. Para obtener más información, consulte 

“Seleccionar rutas” en la página 31. 

La métrica también se puede utilizar para seleccionar la ruta a utilizar cuando 

existen varias rutas para la misma red de destino con el mismo valor de 

preferencia. El valor de métrica de las rutas conectadas es siempre 0. La 

métrica predeterminada de las rutas estáticas es 1, pero se puede especificar 

un valor diferente cuando se definen estas rutas. 

El sistema virtual (vsys) al cual pertenece esta ruta. Para obtener más 

información sobre enrutadores virtuales, consulte “Enrutadores virtuales y 

sistemas virtuales” en la página 27. En este ejemplo, no aparecen entradas bajo 

el encabezado de la tabla untrust-vr; sin embargo, bajo el encabezado de la 

tabla trust-vr aparecen once entradas. 

La mayoría de las tablas de enrutamiento contienen una ruta predeterminada (con la 

dirección de red 0.0.0.0/0), que es una entrada comodín para los paquetes 

destinados a redes distintas de las definidas en la tabla de enrutamiento. 

Para ver un ejemplo del enrutamiento basado en el destino, consulte “Configurar 

rutas estáticas” en la página 5. 

Tabla de enrutamiento basada en el origen 

Se puede obligar a un dispositivo de seguridad a reenviar tráfico según la dirección 

IP de origen de un paquete de información en lugar de la dirección IP de destino. 

Esta función permite que el tráfico de los usuarios de una subred concreta sea 

reenviado por una ruta mientras que el tráfico de los usuarios de una subred 

diferente se reenvía por otra. Cuando el enrutamiento según el origen se habilita en 




un VR, el dispositivo de seguridad realiza operaciones de consulta de la tabla de 

enrutamiento en la dirección IP del origen del paquete en una tabla de 

enrutamiento con base en orígenes. Si el dispositivo de seguridad no encuentra una 

ruta para la dirección IP de origen en la tabla de enrutamiento basada en orígenes, 

utiliza la dirección IP de destino del paquete para las operaciones de consulta de 

rutas en la tabla de enrutamiento basada en destinos. 

Las rutas basadas en el origen se definen como rutas configuradas estáticamente en 

VRs especificados. Las rutas basadas en orígenes son aplicables al VR en el que se 

les configura; sin embargo, puede especificar otro VR como siguiente salto para una 

ruta basada en orígenes. Tampoco se pueden redistribuir rutas basadas en el origen 

a otros VR o protocolos de enrutamiento. 

Para utilizar esta función: 

1. Cree al menos una ruta basada en origen especificando esta información: 

El nombre del VR en el que es aplicable el enrutamiento según el origen. 

La dirección IP de origen, que aparece como una entrada en la tabla de 

enrutamiento basada en orígenes, en la cual el dispositivo de seguridad 

realiza una búsqueda de la tabla de enrutamiento. 

El nombre de la interfaz de salida por la que se reenvía el paquete. 

El salto siguiente para la ruta basada en el origen (tenga en cuenta que si ya 

se ha especificado una puerta de enlace predeterminada para la interfaz 

con el comando CLI set interface interfaz gateway dir_ip, no es necesario 

especificar el parámetro de puerta de enlace; la puerta de enlace 

predeterminada de la interfaz se usa como siguiente salto para la ruta 

basada en el origen. También puede especificar otro VR como siguiente 

salto para la ruta basada en el origen con el comando set vrouter vrouter 

route source dir_ip/máscara_red vrouter salto-siguiente_vrouter). 

La métrica para la ruta basada en el origen. (Si hay varias rutas basadas en 

el origen con el mismo prefijo, sólo la ruta con la métrica más baja se 

utiliza para la consulta de rutas y el resto se marcan como “inactivas”). 

2. Habilitar el enrutamiento según el origen en el VR. El dispositivo de seguridad 

utiliza la IP de origen del paquete para las operaciones de consulta de rutas en 

la tabla de enrutamiento basada en orígenes. Si no se encuentra ninguna ruta 

para la dirección IP de origen, se utiliza la dirección IP de destino para consultar 

la tabla de enrutamiento. 

En la Figura 7, el tráfico de los usuarios de la subred 10.1.1.0/24 se reenvía al ISP 1, 

mientras que el tráfico de los usuarios de la subred 10.1.2.0/24 se reenvía al ISP 2. 

Es necesario configurar dos entradas en la tabla de enrutamiento del VR 

predeterminado trust-vr y habilitar el enrutamiento según el origen: 

La subred 10.1.1.0/24, con ethernet3 como interfaz de reenvío, y enrutador del 

ISP 1 (1.1.1.1) como siguiente salto 

La subred 10.1.2.0/24, con ethernet4 como interfaz de reenvío, y enrutador del 

ISP 2 (2.2.2.2) como siguiente salto

Figura 7: Ejemplo de enrutamiento según el origen 

10.1.1.0/24 

10.1.2.0/24 

ethernet1 

ethernet2 


WebUI 

Network > Routing > Source Routing > New (para el trust-vr): Introduzca los 


Network Address / Netmask: 10.1.1.0 255.255.255.0 

Interface: ethernet3 (seleccione) 


Network > Routing > Source Routing > New (para el trust-vr): Introduzca los 





NOTA: En la WebUI, la preferencia y el valor de métrica predeterminados son 1. 

ISP1 

1.1.1.1 

2.2.2.2 

Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione 

Enable Source Based Routing, y haga clic en OK. 

CLI 

set vrouter trust-vr route source 10.1.1.0/24 interface ethernet3 gateway 1.1.1.1 

metric 1 

set vrouter trust-vr route source 10.1.2.0/24 interface ethernet4 gateway 2.2.2.2 

metric 1 

set vrouter trust-vr source-routing enable 

save 

ISP2 



Tabla de enrutamiento basada en la interfaz de origen 


El enrutamiento según la interfaz de origen (SIBR) permite al dispositivo de 

seguridad reenviar el tráfico en función de la interfaz de origen (la interfaz por la 

que el paquete de datos llega al dispositivo de seguridad). Cuando SIBR se habilita 

en un enrutador virtual (VR), el dispositivo de seguridad realiza operaciones de 

consulta de rutas en una tabla de enrutamiento de SIBR. Si el dispositivo de 

seguridad no encuentra ninguna entrada de ruta en la tabla de enrutamiento de 

SIBR para la interfaz de origen, puede realizar consultas de ruta en la tabla de 

enrutamiento basada en orígenes (si el enrutamiento basado en orígenes está 

habilitado en el VR) o en la tabla de enrutamiento basada en destinos. 

Define las rutas basadas en la interfaz origen como rutas estáticas para las 

interfaces de origen especificadas. Las rutas basadas en la interfaz de origen son 

aplicables al VR en el que se configuran; sin embargo, también puede especificar 

otro VR como siguiente salto para una ruta basada en la interfaz de origen. Sin 

embargo, tampoco se pueden exportar rutas basadas en la interfaz de origen a 

otros VRs ni redistribuirlas a un protocolo de enrutamiento. 

Para utilizar esta función: 

1. Cree al menos una ruta basada en la interfaz de origen especificando la 

información siguiente: 

El nombre del VR en el que es aplicable el enrutamiento según la interfaz 

de origen. 

La interfaz de origen en la que el dispositivo de seguridad realiza una 

consulta en la tabla SIBR. (Esta interfaz aparece como una entrada en la 

tabla de enrutamiento). 

La dirección IP y el prefijo de máscara de red para la ruta. 

El nombre de la interfaz de salida por la que se reenvía el paquete. 

El salto siguiente para la ruta basada en interfaz de origen. (Tenga en 

cuenta que si ya se ha especificado una puerta de enlace predeterminada 

para la interfaz con el comando CLI set interface interfaz gateway dir_ip, 

no es necesario especificar el parámetro de puerta de enlace; la puerta de 

enlace predeterminada de la interfaz se usa como siguiente salto para la 

ruta basada en la interfaz de origen. También puede especificar otro VR 

como siguiente salto para la ruta basada en el origen con el comando set 

vrouter vrouter route source dir_ip/máscara_red vrouter 

salto-siguiente_vrouter). 

La métrica para la ruta basada en interfaz de origen. (Si hay varias rutas 

con base en la interfaz de origen con el mismo prefijo, sólo la ruta con la 

métrica más baja se utiliza para la consulta de rutas y el resto se marcan 

como “inactivas”). 

2. Habilite SIBR para el VR. El dispositivo de seguridad utiliza la interfaz de origen 

del paquete para las operaciones de consulta de rutas en la tabla SIBR.


En la Figura 8, el tráfico de los usuarios de la subred 10.1.1.0/24 llega al dispositivo 

de seguridad en la interfaz ethernet1 y se reenvía al ISP 1, mientras que el tráfico 

procedente de los usuarios de la subred 10.1.2.0/24 llega al dispositivo en ethernet2 

y se reenvía al ISP 2. Deberá configurar dos entradas en la tabla de enrutamiento 

del VR predeterminado trust-vr y habilitar SIBR: 

La subred 10.1.1.0/24, con ethernet1 como interfaz de origen para reenvíos y 

ethernet3 como interfaz de reenvío, y el enrutador del ISP 1 (1.1.1.1) como 

siguiente salto. 

La subred 10.1.2.0/24, con ethernet2 como interfaz de origen para reenvíos y 

ethernet4 como interfaz de reenvío, y el enrutador del ISP 2 (2.2.2.2) como 


Figura 8: Ejemplo de enrutamiento según la interfaz de origen (SIBR) 

10.1.1.0/24 

10.1.2.0/24 

ethernet1 

ethernet2 

ethernet3 

ethernet4 

WebUI 

Network > Routing > Source Interface Routing > New (para ethernet1): 

Introduzca los siguientes datos y haga clic en OK: 




Network > Routing > Source Interface Routing > New (para ethernet2): 





NOTA: En la WebUI, la preferencia y el valor de métrica predeterminados son 1. 

Network > Routing > Virtual Routers > Edit (para el trust-vr): Seleccione 

Enable Source Interface Based Routing, y haga clic en OK. 

CLI 

set vrouter trust-vr route source in-interface ethernet1 10.1.1.0/24 interface 

ethernet3 gateway 1.1.1.1 metric 1 

set vrouter trust-vr route source in-interface ethernet2 10.1.2.0/24 interface 

ethernet4 gateway 2.2.2.2 metric 1 

set vrouter trust-vr sibr-routing enable 

save 

ISP1 

1.1.1.1 

ISP2 

2.2.2.2 



Crear y modificar enrutadores virtuales 

Modificar enrutadores virtuales 

22 Crear y modificar enrutadores virtuales 

Esta sección incluye varios ejemplos y procedimientos para modificar enrutadores 

virtuales (VRs) existentes y para crear o eliminar VRs personalizados. 

Se puede modificar un VR personalizado o predeterminado mediante la WebUI o la 

CLI. Por ejemplo, para modificar el VR trust-vr: 

WebUI 

Network > Routing > Virtual Router (trust-vr) > Edit 

CLI 

set vrouter trust-vr 

Se pueden modificar los siguientes parámetros de los VRs: 

Identificador de enrutador virtual (consulte “Limitar el número máximo de 

entradas de la tabla de enrutamiento” en la página 30). 

Número máximo de entradas permitidas en la tabla de enrutamiento. 

El valor de preferencia para las rutas, según el protocolo (consulte “Establecer 

una preferencia de ruta” en la página 31). 

Hacer que el VR reenvíe el tráfico según la dirección IP de origen del paquete 

de datos (de forma predeterminada, un VR reenvía el tráfico según la dirección 

IP de destino del paquete de datos). Consulte “Tabla de enrutamiento basada en 

el origen” en la página 17.) 

Habilitar o inhabilitar la exportación automática de rutas al untrust-vr para 

interfaces configuradas en modo de ruta (sólo para el trust-vr). 

Añadir una ruta predeterminada con otro VR como siguiente salto (sólo para el 

trust-vr). 

Hacer capturas SNMP privadas para las MIBs de enrutamiento dinámico (sólo 

para el VR de nivel raíz). 

Permitir que rutas de interfaces inactivas sean tenidas en cuenta para 

notificación (de forma predeterminada, sólo las rutas activas definidas en 

interfaces activas pueden ser redistribuidas a otros protocolos o exportadas a 

otros VRs). 

Hacer que el VR ignore las direcciones de subredes superpuestas para 

interfaces (de forma predeterminada, no se pueden configurar direcciones IP 

de subredes superpuestas para interfaces en el mismo VR). 

Permitir que el VR sincronice su configuración con el VR de su interlocutor del 

NetScreen Redundancy Protocol (NSRP).

Asignar una ID del enrutador virtual 


Con los protocolos de enrutamiento dinámico, cada dispositivo de enrutamiento 

utiliza una única identidad de enrutador para comunicar con otros dispositivos de 

enrutamiento. La identidad puede ser en forma de notación decimal con puntos, 

como una dirección IP, o un valor entero. Si no se define una ID de enrutador virtual 

concreto (VR ID) antes de la habilitación de un protocolo de enrutamiento 

dinámico, ScreenOS automáticamente selecciona la dirección IP más alta de las 

interfaces activas en el enrutador virtual (VR) como identidad del enrutador. 

De forma predeterminada todos los dispositivos de seguridad tienen asignada la 

dirección IP 192.168.1.1 a la interfaz VLAN1. Si no se especifica una ID del 

enrutador antes de la habilitación de un protocolo de enrutamiento dinámico en un 

dispositivo de seguridad, la dirección IP elegida como ID del enrutador será 

probablemente la dirección predeterminada 192.168.1.1. Esto puede provocar un 

problema de enrutamiento puesto que no puede haber varios VRs de seguridad con 

la misma ID de VR en un dominio de enrutamiento. Por lo tanto, recomendamos 

que siempre se asigne una ID de VR explícita que sea única en la red. Se puede 

establecer la ID del VR a la dirección de la interfaz de bucle invertido, puesto que la 

interfaz de bucle invertido no es una VSI (interfaz de seguridad virtual) en un clúster 

NSRP (protocolo de redundancia de NetScreen). (Consulte el Volumen 11: 

Alta disponibilidad para obtener más información sobre la configuración de un 

clúster NSRP). 

En este ejemplo, se asigna 0.0.0.10 como ID de enrutador para el trust-vr. 

NOTA: En la WebUI se debe introducir la ID del enrutador en notación decimal de puntos. 

En la CLI, se puede introducir la ID del enrutador en notación decimal de puntos 

(0.0.0.10) o simplemente introducir 10 (la CLI la convierte en 0.0.0.10). 

WebUI 

Network > Routing > Virtual Router (trust-vr) > Edit: Introduzca los siguientes 

datos y haga clic en OK: 

Virtual Router ID: Custom (seleccione) 

En el cuadro de texto, escriba 0.0.0.10. 

CLI 

set vrouter trust-vr router-id 10 

save 

NOTA: No se puede asignar o cambiar una ID de enrutador si ya se ha habilitado un 

protocolo de enrutamiento dinámico en el VR. Si es necesario cambiar la ID del 

enrutador, se debe primero desactivar el protocolo de enrutamiento dinámico en 

el VR. Para más información sobre la desactivación del protocolo de enrutamiento 

dinámico en el VR, consulte el capítulo correspondiente en este volumen. 

Reenviar tráfico entre enrutadores virtuales 

Cuando hay dos versiones de VR en un dispositivo de seguridad, el tráfico de las 

zonas en un VR no se reenvía automáticamente a zonas de otro VR, aunque haya 

directivas que permitan el tráfico. Si el tráfico debe pasar entre los VRs, tiene que 

realizar uno de estos procedimientos: 

Crear y modificar enrutadores virtuales 23


Configurar dos enrutadores virtuales 


Configurar una ruta estática en un VR que defina otro VR como el siguiente 

salto para la ruta. Esta ruta puede incluso ser la ruta predeterminada del VR. Por 

ejemplo, se puede configurar una ruta predeterminada para el trust-vr con el 

untrust-vr como siguiente salto. Si el destino de un paquete de salida no 

coincide con ninguna de las entradas de la tabla de enrutamiento del trust-vr, se 

reenvía al untrust-vr. Para obtener información sobre la configuración de rutas 

estáticas, consulte “Configurar rutas estáticas” en la página 5. 

Exportar rutas de la tabla de enrutamiento de un VR a la tabla de enrutamiento 

de otro VR. Se pueden exportar e importar rutas concretas. También se pueden 

exportar todas las rutas de la tabla de enrutamiento del trust-vr a la tabla del 

untrust-vr. Esto posibilita el reenvío de paquetes recibidos en el untrust-vr a 

destinos del trust-vr. Para obtener información, consulte “Exportar e importar 

rutas entre enrutadores virtuales” en la página 44. 

Cuando hay varios VRs dentro de un dispositivo de seguridad, cada VR mantiene 

tablas de enrutamiento separadas. De forma predeterminada, todas las zonas de 

seguridad predefinidas y definidas por el usuario están asociadas al trust-vr. Esto 

significa que todas las interfaces asociadas a esas zonas de seguridad también 

pertenecen al trust-vr. Esta sección analiza cómo asociar una zona de seguridad (y 

sus interfaces) al VR untrust-vr. 

Se puede asociar una zona de seguridad a un sólo VR. Se pueden asociar varias 

zonas de seguridad a un sólo VR cuando no hay superposición de direcciones entre 

zonas. Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una 

vez que una zona está asociada a un VR, todas las interfaces de la zona pertenecen 

al VR. Se puede cambiar el vínculo de una zona de seguridad de un VR a otro, pero 

primero hay que quitar todas las interfaces de la zona. (Para obtener más 

información sobre cómo vincular y desvincular una interfaz de una zona de 

seguridad, consulte “Protocolo OSPF” en la página 7-47.) 

A continuación se enumeran los pasos básicos para asociar una zona de seguridad 

al VR untrust-vr: 

1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. No 

se puede modificar el vínculo de zona a VR si hay una interfaz asignada a la 

zona. Si se ha asignado una dirección IP a una interfaz, es necesario eliminar la 

asignación de dirección antes de quitar la interfaz de la zona. 

2. Asignar la zona al VR untrust-vr. 

3. Asignar de nuevo las interfaces a la zona. 

En el siguiente ejemplo, la zona de seguridad untrust está asociada de forma 

predeterminada al trust-vr y la interfaz ethernet3 está asociada a la zona de 

seguridad untrust. (No hay otras interfaces asociadas a la zona de seguridad 

untrust). Primero se debe definir la dirección IP y la máscara de red de la interfaz 

ethernet3 con un valor de 0.0.0.0, después cambiar los enlaces para que la zona de 

seguridad untrust se asocie al untrust-vr.

WebUI 


1. Desasociar la interfaz de la zona untrust 

Network > Interfaces (ethernet3) > Edit: Introduzca los siguientes datos y 

haga clic en OK: 

Zone Name: Null 

IP Address/Netmask: 0.0.0.0/0 

2. Asociar la zona untrust al untrust-vr 

Network > Zones (untrust) > Edit: Seleccione untrust-vr en la lista 

desplegable Virtual Router Name, luego haga clic en OK. 

3. Asociar la interfaz a la zona untrust 

Network > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista 

desplegable Zone Name, luego haga clic en OK. 

CLI 

1. Desasociar la interfaz de la zona untrust 

unset interface ethernet3 ip 

unset interface ethernet3 zone 

2. Asociar la zona untrust al untrust-vr 

set zone untrust vrouter untrust-vr 

3. Asociar la interfaz a la zona untrust 

set interface eth3 zone untrust 

save 



Crear y eliminar enrutadores virtuales 


En el resultado del siguiente ejemplo, el comando get zone muestra la interfaz, 

zona y enlaces VR predeterminados. En los enlaces predeterminados, la zona 

untrust está asociada al trust-vr. 

ns-> get zone 

Total of 12 zones in vsys root. 7 policy configurable zone(s) 

------------------------------------------------------------- 

ID Name Type Attr VR Default-IF VSYS 

0 Null Null Shared untrust-vr null Root 

1 Untrust Sec(L3) Shared trust-vr ethernet3 Root 

2 Trust Sec(L3) trust-vr ethernet1 Root 

3 DMZ Sec(L3) trust-vr ethernet2 Root 

4 Self Func trust-vr self Root 

5 MGT Func trust-vr vlan1 Root 

6 HA Func trust-vr null Root 

10 Global Sec(L3) trust-vr null Root 

11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 

12 V1-Trust Sec(L2) trust-vr v1-trust Root 

13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 

16 Untrust-Tun Tun trust-vr null Root 

------------------------------------------------------------- 

Puede elegir cambiar el enlace de la zona para untrust-vr. Al ejecutar el comando 

get zone, se muestra la interfaz, la zona y los enlaces de VR modificados; en este 

caso, la zona untrust está ahora vinculada a untrust-vr. 

ns-> get zone 

Total of 12 zones in vsys root. 7 policy configurable zone(s) 

------------------------------------------------------------- 

ID Name Type Attr VR Default-IF VSYS 

0 Null Null Shared untrust-vr null Root 

1 Untrust Sec(L3) Shared untrust-vr ethernet3 Root 

2 Trust Sec(L3) trust-vr ethernet1 Root 

3 DMZ Sec(L3) trust-vr ethernet2 Root 

4 Self Func trust-vr self Root 

5 MGT Func trust-vr vlan1 Root 

6 HA Func trust-vr null Root 

10 Global Sec(L3) trust-vr null Root 

11 V1-Untrust Sec(L2) trust-vr v1-untrust Root 

12 V1-Trust Sec(L2) trust-vr v1-trust Root 

13 V1-DMZ Sec(L2) trust-vr v1-dmz Root 

16 Untrust-Tun Tun trust-vr null Root 

--------------------------------------------------------------- 

Algunos dispositivos de seguridad permiten crear VRs personalizados además de 

los dos predefinidos. Se pueden modificar todos los aspectos de un VR definido por 

el usuario, incluidos la identidad del VR, el número máximo de entradas permitidas 

en la tabla de enrutamiento, y el valor de preferencia de las rutas de determinados 

protocolos. 

NOTA: Sólo determinados dispositivos de seguridad son compatibles con VRs 

personalizados. Para crear VRs personalizados, es necesaria una clave de licencia 

de software.

Crear un enrutador virtual personalizado 


En este ejemplo, se crea un VR personalizado denominado trust2-vr y se habilita 

una exportación de rutas automática del VR trust2-vr al untrust-vr. 

WebUI 

Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y 


Virtual Router Name: trust2-vr 

Auto Export Route to Untrust-VR: (seleccione) 

CLI 

set vrouter name trust2-vr 

set vrouter trust2-vr auto-route-export 

save 

Eliminar un enrutador virtual personalizado 

En este ejemplo, se elimina un VR definido por el usuario existente denominado 

trust2-vr. 

WebUI 

Network > Routing > Virtual Routers: Haga clic en Remove para trust2-vr. 

CLI 

Cuando aparezca la petición de confirmación de la eliminación, haga clic en 

OK. 

unset vrouter trust2-vr 

Cuando aparezca la petición de confirmación para la eliminación (vrouter 

unset, are you sure? y/[n]), teclee Y. 

save 

NOTA: No se pueden eliminar los VRs predefinidos untrust-vr y trust-vr, pero se puede 

eliminar cualquier VR definido por el usuario. Para modificar el nombre de un VR 

definido por el usuario o cambiar la ID del VR, se debe primero eliminar el VR, y 

después volver a crearlo con el nuevo nombre o ID del VR. 

Enrutadores virtuales y sistemas virtuales 

Cuando un administrador del nivel raíz crea un vsys en sistemas con sistema 

virtual habilitado, automáticamente el vsys tiene los siguientes VRs disponibles 

para su uso: 

Cualquier VR de nivel raíz que haya sido definido como compartido. El 

untrust-vr es, de forma predefinida, un VR compartido accesible por cualquier 

vsys. Se puede configurar otro VR de nivel raíz como compartido. 

Un VR de nivel vsys. Cuando se crea un vsys, se crea automáticamente un VR 

de nivel vsys que mantiene la tabla de enrutamiento de la zona Trust-vsysname. 

Se puede elegir nombrar el VR como vsysname-vr o con un nombre definido 

por el usuario. Un VR de nivel vsys no puede ser compartido por otros vsys. 



Figura 9: Enrutadores virtuales dentro de un Vsys 

untrust-vr 

(enrutador virtual 

a nivel de raíz 

compartido) 

Mail 

Untrust 


NOTA: Únicamente los sistemas de seguridad de Juniper Networks (NetScreen-500, 

NetScreen-5200, NetScreen-5400) admiten vsys. Para crear objetos vsys, es 

necesaria una clave de licencia de software. 

DMZ 

Se pueden definir uno o más VRs personalizados para un vsys. Para obtener más 

información sobre sistemas virtuales, consulte el Volumen 10: Sistemas virtuales. En 

la Figura 9, cada uno de los tres vsys tiene dos VR asociados con éste: un VR de 

nivel vsys llamado vsysname-vr y el untrust-vr. 

sistema raíz 

vsys1 

vsys2 

vsys3 

Finance 

Crear un enrutador virtual en un Vsys 

En este ejemplo, se define un VR personalizado vr-1a con la ID de VR 10.1.1.9 para 

el vsys my-vsys1. 

WebUI 

Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > 

New: Introduzca los siguientes datos y haga clic en Apply: 

Virtual Router Name: vr-1a 


En el cuadro de texto, introduzca 10.1.1.9 

trust-vr 

Trust Eng 

Trust-vsys1 

Trust-vsys2 

Trust-vsys3 

vsys1-vr 

vsys2-vr 

vsys3-vr 

Automáticamente 

creados cuando 

se crea vsys

CLI 

set vsys my-vsys1 

(my-vsys1) set vrouter name vr-1a 

(my-vsys1/vr-1a) set router-id 10.1.1.9 

(my-vsys1/vr-1a) exit 

(my-vsys1) exit 

Teclee Y cuando aparezca la siguiente pregunta: 

Configuration modified, save? [y]/n 


El VR de nivel vsys que se crea al crear el vsys es el VR predeterminado para un 

vsys. Se puede cambiar el VR predeterminado de un vsys por un VR personalizado. 

Por ejemplo, puede hacer que el VR personalizado vr-1a creado anteriormente en 

este ejemplo sea el VR predeterminado para el vsys my-vsys1: 

WebUI 

Vsys > Enter (para my-vsys1) > Network > Routing > Virtual Routers > Edit 

(para vr-1a): Seleccione Make This Vrouter Default-Vrouter for the System y 

haga clic en Apply. 

CLI 


(my-vsys1) set vrouter vr-1a 

(my-vsys1/vr-1a) set default-vrouter 

(my-vsys1/vr-1a) exit 




La zona de seguridad predefinida Trust-vsysname está asociada de forma 

predeterminada al VR de nivel vsys que se crea al crear el vsys. No obstante, se 

puede asociar la zona de seguridad predefinida Trust-vsysname y cualquier zona de 

seguridad de nivel vsys definida por el usuario a cualquier VR disponible para el 

vsys. 

El untrust-vr es compartido de forma predefinida por todo el vsys. Aunque los VRs 

de nivel vsys no se pueden compartir, se puede definir cualquier VR de nivel raíz 

para ser compartido por el vsys. Esto permite definir rutas en un VR de nivel vsys 

que utilizan un VR de nivel raíz como siguiente salto. Se puede también configurar 

la redistribución de rutas entre un VR de nivel vsys y un VR de nivel raíz 

compartido. 

Compartir rutas entre enrutadores virtuales 

En este ejemplo, el VR de nivel raíz my-router contiene las entradas de la tabla de 

enrutamiento para la red 4.0.0.0/8. Si se configura el VR de nivel raíz my-router 

como compartible por el vsys, se puede definir una ruta en un VR de nivel vsys para 

el destino 4.0.0.0/8 con my-router como siguiente salto. En este ejemplo, el vsys es 

my-vsys1 y el VR de nivel vsys es my-vsys1-vr. 




WebUI 

Network > Routing > Virtual Routers > New: Introduzca los siguientes datos y 


CLI 

Virtual Router Name: my-router 

Shared and accessible by other vsys (seleccione) 

Vsys > Enter (para my-vsys1) > Network > Routing > Routing Entries > New 

(para my-vsys1-vr): Introduzca los siguientes datos y haga clic en OK: 


Next Hop Virtual Router Name: (seleccione) my-router 

set vrouter name my-router sharable 


(my-vsys1) set vrouter my-vsys1-vr route 40.0.0.0/8 vrouter my-router 




Limitar el número máximo de entradas de la tabla de enrutamiento 

A cada VR se le asignan las entradas de la tabla de enrutamiento que necesita de un 

conjunto del sistema. El número máximo de entradas disponibles depende del 

dispositivo de seguridad y del número de VRs configurados en el dispositivo. Se 

puede limitar el número máximo de entradas de la tabla de enrutamiento que 

pueden asignarse a un VR concreto. Esto sirve para prevenir que un VR utilice todas 

las entradas del sistema. 

NOTA: Consulte la hoja de datos del producto pertinente para determinar el número 

máximo de entradas de la tabla de enrutamiento disponible en su dispositivo de 

seguridad de Juniper Networks. 

En este ejemplo, se ajusta a 20 el número máximo de entradas de la tabla de 

enrutamiento para el trust-vr. 

WebUI 

Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los 


Maximum Route Entry: 

Set limit at: (seleccione), 20 

CLI 

set vrouter trust-vr max-routes 20 

save

Ejemplos y características del enrutamiento 

Seleccionar rutas 


Después de configurar los VRs requeridos para su red, puede determinar cuáles 

características de enrutamiento desea emplear. Estas características afectan al 

comportamiento del enrutamiento y a los datos de la tabla de enrutamiento. Estas 

características se aplican a protocolos de enrutamiento estático y dinámico. 

Esta sección contiene los siguientes temas: 

“Seleccionar rutas” en la página 31 

“Configurar el enrutamiento de rutas múltiples de igual coste” en la página 37 


“Exportar e importar rutas entre enrutadores virtuales” en la página 44 

Pueden existir varias rutas con el mismo prefijo (dirección IP y máscara) en la tabla 

de enrutamiento. Cuando la tabla de enrutamiento contiene varias rutas para el 

mismo destino, se comparan los valores de preferencia de cada ruta. Se selecciona 

la que tiene el valor de preferencia más bajo. Si los valores de preferencia son 

iguales, se comparan los valores de métrica. En ese caso, se selecciona la ruta que 

tiene el valor de métrica más bajo. 

NOTA: Si hay varias rutas para el mismo destino con los mismos valores de preferencia y 

los mismos valores de métrica, entonces cualquiera de ellas puede resultar 

seleccionada. En este caso, la elección de una ruta concreta sobre otra no está 

garantizada ni es predecible. 

Establecer una preferencia de ruta 

Una preferencia de ruta es un peso añadido a la ruta que influye en la 

determinación del mejor camino para que el tráfico alcance su destino. Cuando se 

importa o añade una ruta a la tabla de enrutamiento, el VR añade un valor de 

preferencia, determinado por el protocolo por el cual es reconocida. Se prefiere un 

valor de preferencia bajo (un número próximo a 0) a un valor de preferencia alto 

(un número alejado de 0). 

En un VR, puede establecer el valor de preferencia para rutas de acuerdo con el 

protocolo. La Tabla 2 detalla los valores de preferencia predeterminados para rutas 

de cada protocolo. 

Ejemplos y características del enrutamiento 31


32 Ejemplos y características del enrutamiento 

Tabla 2: Valores de preferencia predeterminados de las rutas 

Protocolo Preferencia predeterminada 

Connected 0 

Static 20 

Auto-Exported 30 

EBGP 40 

OSPF 60 

RIP 100 

Imported 140 

OSPF External Type 2 200 

IBGP 250 

También se puede ajustar el valor de preferencia de la ruta para dirigir el tráfico por 

el camino preferido. 

En este ejemplo, se especifica un valor de 4 como preferencia para cualquier ruta 

“conectada” añadida a la tabla de rutas del untrust-vr. 

NOTA: Si la preferencia de la ruta cambia para un tipo de ruta (por ejemplo, las rutas 

OSPF de tipo 1), la nueva preferencia aparece en la tabla de rutas, pero no tiene 

efecto hasta que la ruta sea reconocida de nuevo (lo cual se consigue inhabilitando 

y a continuación habilitando el protocolo de enrutamiento dinámico), o, en el caso 

de rutas estáticas, eliminándola y volviéndola a añadir. 

Una ruta es conectada cuando el enrutador tiene una interfaz con una dirección IP 

en la red de destino. 

WebUI 

Network > Routing > Virtual Routers > Edit (para untrust-vr): Introduzca los 


Route Preference: 

Connected: 4 

CLI 

set vrouter untrust-vr preference connected 4 

save 

Métricas de ruta 

Las métricas de ruta determinan el mejor camino que un paquete puede tomar para 

alcanzar un destino dado. Los enrutadores utilizan las métricas de ruta para sopesar 

dos rutas al mismo destino y determinar la elección de una ruta sobre la otra. 

Cuando hay varias rutas hacia la misma red de destino con el mismo valor de 

preferencia, prevalece la ruta con la métrica más baja.

Una métrica de ruta se puede basar en cualquier elemento o bien en una 

combinación de éstos: 

Número de enrutadores que un paquete debe atravesar para alcanzar un 

destino 

Velocidad y ancho de banda relativas de la ruta 

Costo económico de los enlaces que conforman la ruta 

Otros factores 


Cuando las rutas son reconocidas dinámicamente, el enrutador contiguo al de 

origen de la ruta proporciona la métrica. La métrica predeterminada para rutas 

conectadas siempre es 0. La métrica predeterminada para rutas estáticas es 1. 

Cambiar la secuencia predeterminada de consulta de rutas 

Si activa tanto el enrutamiento basado en el origen como el enrutamiento basado 

en interfaz de origen en un VR, el VR realiza búsquedas de la ruta, comprobando el 

paquete entrante con las tablas de enrutamiento en un orden específico. Esta 

sección describe la secuencia de búsqueda de la ruta predeterminada y cómo se 

puede modificar dicha secuencia configurando los valores de preferencia para cada 

tabla de enrutamiento. 

Si un paquete entrante no coincide con una sesión existente, el dispositivo de 

seguridad ejecuta los pasos restantes con el procedimiento First Packet Processing. La 

Figura 10 en la página 34 muestra la secuencia predeterminada de consulta de rutas. 




Figura 10: Secuencia predeterminada de consulta de rutas 

paquete entrante 

¿SIBR 

activado? 

No 

¿SIBR 

activado? 

No 

¿Se encontró 

la ruta en 

DRT? 

No 

Descartar paquete 

Sí 

No 

Sí 

No 

Sí 

¿La ruta se 

encontró 

en tabla 

SIBR? 

¿La ruta se 

encontró 

en tabla 

SIBR? 

1. Si el enrutamiento basado en la interfaz de origen se activa en el VR, el 

dispositivo de seguridad primero comprueba la tabla de enrutamiento basada 

en la interfaz de origen para una entrada de ruta que coincida con la interfaz en 

la que llegó el paquete. Si el dispositivo de seguridad encuentra una entrada de 

ruta para la interfaz de origen en la tabla de enrutamiento basada en la interfaz 

de origen, reenvía los paquetes según lo especificado por la entrada de 

enrutamiento correspondiente. Si el dispositivo de seguridad no encuentra una 

entrada de enrutamiento para la interfaz de origen en la tabla de enrutamiento 

basada en la interfaz de origen, el dispositivo comprueba si el enrutamiento 

basado en el origen se habilita en el VR. 

2. Si el enrutamiento basado en el origen se activa en el VR, el dispositivo de 

seguridad comprueba la tabla de enrutamiento basada en el origen para una 

entrada de ruta que coincida con la dirección IP de origen del paquete. Si el 

dispositivo de seguridad encuentra una entrada de enrutamiento que coincida 

con la dirección IP de origen, reenvía el paquete según lo especificado por la 

entrada. Si el dispositivo de seguridad no encuentra una entrada de 

enrutamiento para la dirección IP de origen en la tabla de enrutamiento 

basada en el origen, el dispositivo comprueba la tabla de enrutamiento 

basada en los destinos. 

Sí 

Reenviar el paquete en la 

interfaz de salida especificada 

o de siguiente salto


3. El dispositivo de seguridad comprueba la tabla de enrutamiento basada en los 

destinos en búsqueda de una entrada de enrutamiento que coincida con la 

dirección IP de destino del paquete. Si el dispositivo de seguridad encuentra 

una entrada de enrutamiento que coincida con la dirección IP de destino, 

reenvía el paquete según lo especificado por la entrada. Si el dispositivo no 

encuentra una entrada de enrutamiento que coincida exactamente con la 

dirección IP de destino pero hay una ruta predeterminada configurada para el 

VR, el dispositivo reenvía el paquete según lo especificado por la ruta 

predeterminada. Si el dispositivo de seguridad no encuentra una entrada de 

enrutamiento para la dirección IP de destino y no hay ruta predeterminada 

configurada para el VR, el paquete se descarta. 

El orden en el que el dispositivo de seguridad comprueba las tablas de 

enrutamiento para encontrar una ruta que coincida está determinado por un valor 

de preferencia asignado a cada tabla de enrutamiento. La tabla de enrutamiento 

con el valor de preferencia más alto se comprueba primero mientras que la tabla de 

enrutamiento con el valor de preferencia más bajo es la última en comprobarse. De 

forma predeterminada, la tabla de enrutamiento basada en la interfaz de origen 

tiene el valor de preferencia más alto (3), la tabla de enrutamiento basada en el 

origen tiene el siguiente valor de preferencia más alto (2) y la tabla de enrutamiento 

basada en los destinos tiene el valor de preferencia más bajo (1). 

Puede reasignar nuevos valores de preferencia a una tabla de enrutamiento para 

modificar el orden en el que el dispositivo de seguridad realiza la búsqueda de rutas 

en un VR. Recuerde que el dispositivo comprueba las tablas de enrutamiento del 

valor de preferencia más alto al más bajo. 

En el ejemplo siguiente, habilitará tanto el enrutamiento SIBR como el 

enrutamiento basado en el origen en el enrutador trust-vr. Desea que el dispositivo 

de seguridad lleve a cabo operaciones de búsqueda de rutas en las tablas de 

enrutamiento con el siguiente orden: Enrutamiento basado en el origen primero, 

SIBR, y luego enrutamiento basado en destinos Para configurar esta secuencia de 

búsqueda en la tabla de enrutamiento, debe configurar el enrutamiento basado en 

el origen con un valor de preferencia más alto que el de SIBR (en este ejemplo, 

asignará un valor de preferencia de 4 al enrutamiento basado en el origen). 

WebUI 

Network > Routing > Virtual Router > Edit (para el trust-vr): Introduzca los 


Route Lookup Preference (1-255): (seleccione) 

For Source Based Routing: 4 

Enable Source Based Routing: (seleccione) 

Enable Source Interface Based Routing: (seleccione) 

CLI 

set vrouter trust-vr sibr-routing enable 

set vrouter trust-vr source-routing enable 

set vrouter trust-vr route-lookup preference source-routing 4 

save 



Figura 11: Consulta de rutas en múltiples VRs 

10.1.1.0/24 

10.1.2.0/24 


Consultar rutas en múltiples enrutadores virtuales 

Sólo puede especificar otro VR como el salto siguiente para una entrada de 

enrutamiento basada en destinos solamente y no para una entrada de 

enrutamiento basada en el origen o en la interfaz. Por ejemplo, la ruta 

predeterminada en la tabla de enrutamiento basada en destinos puede especificar 

el untrust-vr como el siguiente salto, luego la entrada del untrust-vr puede 

especificar otro VR, como DMZ. El dispositivo verificará hasta un total de tres VR. 

Donde la búsqueda de rutas en un VR da lugar a búsquedas de rutas en otro VR, el 

dispositivo de seguridad siempre lleva a cabo las segundas operaciones de 

búsqueda de rutas en la tabla de enrutamiento basada en destinos. 

En el ejemplo, habilitará el enrutamiento basado en origen tanto en las tablas de 

enrutamiento trust-vr como en las tablas de enrutamiento untrust-vr. Trust-vr posee 

las siguientes entradas de enrutamiento: 

Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, con 

ethernet3 como la interfaz del reenvío, y el enrutador en 1.1.1.1 como el 


Una ruta predeterminada, con el untrust-vr como el siguiente salto. 

El untrust-vr posee las siguientes entradas de enrutamiento: 

Una entrada de enrutamiento basada en origen para la subred 10.1.1.0/24, con 

ethernet4 como la interfaz del reenvío, y el enrutador en 2.2.2.2 como el 


Una ruta predeterminada, con ethernet3 como la interfaz del reenvío y el 

enrutador en 1.1.1.1 como el siguiente salto. 

La Figura 11 muestra cómo el tráfico de la subred 10.1.2.0/24 siempre se reenvía a 

través de ethernet3 al enrutador en 1.1.1.1. 

ethernet1 

ethernet2 

ethernet3 

ethernet4 

La tabla de enrutamiento basada en el origen para el trust-vr incluye la siguiente 

entrada: 

ISP1 

1.1.1.1 

ISP2 

2.2.2.2 


* 1 10.1.1.0/24 eth3 2.2.2.250 S 20 1 Root


La tabla de enrutamiento basada en destinos para el untrust-vr incluye la siguiente 

entrada: 


* 1 0.0.0.0/24 n/a untrust-vr S 20 0 Root 

El tráfico desde la subred 10.1.2.0/24 llega en el dispositivo de seguridad en 

ethernet2. Puesto que no hay entrada de enrutamiento basada en el origen que 

coincida, el dispositivo de seguridad realiza búsquedas de rutas en la tabla de 

enrutamiento basada en destinos. La ruta predeterminada en la tabla de 

enrutamiento basada en destinos especifica el untrust-vr como el salto siguiente. 

A continuación, el dispositivo de seguridad no comprueba la tabla de enrutamiento 

basada en el origen para que el untrust-vr busque la siguiente entrada: 


* 1 10.1.2.0/24 eth4 2.2.2.250 S 20 1 Root 

En su lugar, el dispositivo de seguridad comprueba la tabla de enrutamiento con 

base en destinos y busca la siguiente entrada: 


* 1 0.0.0.0/24 eth3 1.1.1.150 S 20 0 Root 

En el untrust-vr, el dispositivo de seguridad sólo realiza búsquedas de rutas en la 

tabla de enrutamiento basada en destinos, incluso si la tabla de enrutamiento 

basada en origen del untrust-vr contiene una entrada que coincida con el tráfico. 

La ruta que coincide en la tabla de enrutamiento basada en destinos (la ruta 

predeterminada) reenvía el tráfico en la interfaz ethernet3. 

Configurar el enrutamiento de rutas múltiples de igual coste 

Los dispositivos de seguridad de Juniper Networks admiten el enrutamiento de 

rutas múltiples de igual coste (ECMP) por cada sesión. Las rutas de igual coste 

tienen los mismos valores de preferencia y de métrica. Una vez que un dispositivo 

de seguridad asocia una sesión con una ruta, el dispositivo de seguridad utiliza 

dicha ruta hasta que memoriza otra mejor o hasta que la actual deja de ser 

utilizable. Las rutas elegibles deben tener interfaces de salida que pertenezcan a las 

misma zona. 

NOTA: Si las interfaces de salida no pertenecen a las misma zona y el paquete de vuelta 

va a una zona diferente a la prevista, no se podrá producir una coincidencia de 

sesión y puede que el tráfico no pueda pasar. 

ECMP asiste con equilibrio de cargas entre dos a cuatro rutas al mismo destino o 

aumenta la eficacia de utilización del ancho de banda entre dos o más destinos. 

Cuando el ECMP está habilitado, los dispositivos de seguridad utilizan las rutas 

definidas estáticamente o memorizan dinámicamente varias rutas al mismo 

destino mediante un protocolo de enrutamiento. El dispositivo de seguridad asigna 

rutas de igual coste en el modo de ronda recíproca (“round robin”). 

Sin ECMP, el dispositivo de seguridad utiliza únicamente la primera ruta aprendida 

o definida. Las otras rutas que sean de igual coste no se utilizan hasta que la ruta 

activa actualmente deje de estarlo. 




NOTA: Al usar ECMP, si tiene dos dispositivos de seguridad en una relación de vecindad y 

nota la pérdida de un paquete y un equilibrio de cargas incorrecto, compruebe la 

configuración del protocolo de resolución de direcciones (Address Resolution 

Protocol, ARP) del dispositivo vecino para asegurarse de que la característica arp 

always-on-dest está desactivada (predeterminado). Para obtener más información 

acerca de comandos relacionados con ARP, consulte “Interfaces inactivas y flujo 

de tráfico” en la página 2-75. 

Por ejemplo, considere las dos rutas siguientes que aparecen en la tabla de 

enrutamiento basad en destinos trust-vr: 


* 8 0.0.0.0/0 ethernet3 1.1.1.250 C 0 1 Root 

9 0.0.0.0/0 ethernet2 2.2.2.250 S 20 1 Root 

En este ejemplo, hay dos rutas predeterminadas para proporcionar conexiones a 

dos ISP diferentes, y el objetivo es utilizar ambas rutas predeterminadas con ECMP. 

Las dos rutas tienen los mismos valores métricos; sin embargo, la primera ruta es 

una ruta conectada (C con una preferencia de 0). El dispositivo de seguridad 

adquirió la primera ruta a través de DHCP o de PPP y el dispositivo adquirió la ruta 

predeterminada a través de la configuración manual. La segunda ruta es una ruta 

estática configurada manualmente (S con una preferencia automática de 20). Con 

ECMP desactivado, el dispositivo de seguridad reenvía todo el tráfico a la ruta 

conectada en ethernet3. 

Para alcanzar equilibrio de carga con ambas rutas, cambie la preferencia de ruta de 

la ruta estática a cero (0) para que coincida con la ruta conectada introduciendo el 

comando set vrouter trust-vr preference static 0 y luego activando ECMP. Con 

ECMP activado, la carga del dispositivo de seguridad equilibra el tráfico alternando 

entre dos rutas ECMP válidas. La siguiente pantalla muestra la tabla de 

enrutamiento actualizada. 


* 8 0.0.0.0/0 ethernet3 1.1.1.250 C 0 1 Root 

* 9 0.0.0.0/0 ethernet2 2.2.2.250 S 0 1 Root 

Si activa ECMP y el dispositivo de seguridad encuentra más de una ruta coincidente 

del mismo coste en una tabla de enrutamiento, el dispositivo selecciona una ruta 

diferente de igual coste para cada búsqueda de ruta. Con las rutas indicadas 

anteriormente, el dispositivo de seguridad alterna entre ethernet3 y ethernet2 para 

reenviar tráfico a la red 0.0.0.0/0. 

Si hay más de dos rutas de igual coste en la red, el dispositivo de seguridad realiza 

una selección de las rutas en orden rotativo (ronda recíproca) hasta el máximo 

configurado de modo que el dispositivo seleccione una ruta ECMP diferente para 

cada consulta de ruta.

Redistribuir rutas 


ECMP se desactiva de forma predeterminada (el número máximo de rutas es 1). 

Para activar el enrutamiento ECMP, debe especificar el número máximo de rutas de 

igual coste por enrutador. Puede especificar hasta cuatro rutas. Una vez que esté 

establecido el número máximo de rutas, el dispositivo de seguridad no añadirá o 

modificará rutas aunque reconozca más. 

En el siguiente ejemplo, se establece el número máximo de rutas ECMP en el 

trust-vr en 2. Aunque pueda haber 3 ó 4 rutas de igual coste dentro de la misma 

zona y en la tabla de enrutamiento, el dispositivo de seguridad únicamente alterna 

entre el número configurado de rutas elegibles. En este caso, los datos sólo se 

reenvían a lo largo de las 2 rutas ECMP especificadas. 

WebUI 

Network > Routing > Virtual Routers > Edit (para el trust-vr): Introduzca los 


Maximum ECMP Routes: 

Set Limit at: (seleccione), 2 

CLI 

set vrouter trust-vr max-ecmp-routes 2 

save 

La tabla de enrutamiento de un VR contiene rutas agrupadas según todos los 

protocolos de enrutamiento dinámico que se ejecutan en el VR, así como las rutas 

estáticas y las rutas conectadas directamente. De forma predeterminada, un 

protocolo de enrutamiento dinámico (como OSPF, RIP o BGP) notifica a sus 

adyacentes o interlocutores sólo las rutas que cumplen las siguientes condiciones: 

Las rutas deben estar activas en la tabla de enrutamiento. 

Las rutas deben ser reconocidas por el protocolo de enrutamiento dinámico. 

NOTA: OSPF, RIP, y BGP también notifican las rutas conectadas de las interfaces de 

ScreenOS en las que estos protocolos están habilitados. 

Para que un protocolo de enrutamiento dinámico pueda notificar rutas previamente 

reconocidas por otro protocolo, incluidas la rutas configuradas estáticamente, es 

necesario redistribuir las rutas del protocolo origen al protocolo que realiza la 

notificación. 

Se pueden redistribuir las rutas reconocidas por un protocolo de enrutamiento 

(incluidas la rutas configuradas estáticamente) a otro protocolo de enrutamiento 

diferente en el mismo VR. Esto permite al protocolo de enrutamiento receptor 

notificar las rutas redistribuidas. Cuando se importa una ruta, el dominio actual 

tiene que traducir toda la información, en particular las rutas conocidas, del otro 

protocolo al suyo propio. Por ejemplo, si un dominio de enrutamiento utiliza OSPF 

y conecta con un dominio de enrutamiento que utiliza el protocolo BGP, el dominio 

OSPF tiene que importar todas las rutas del dominio BGP para informar a todos sus 

vecinos OSPF sobre cómo llegar a los dispositivos del dominio BGP. 




Las rutas se distribuyen entre los protocolos según una regla de redistribución que 

define el administrador del sistema o de la red. Cuando se añade una ruta a la tabla 

de enrutamiento de un enrutador virtual, se le aplican una a una todas las reglas de 

redistribución definidas en el VR para determinar si la ruta tiene que ser 

redistribuida. Cuando se elimina una ruta de la tabla de enrutamiento de un 

enrutador virtual, se le aplican una a una todas las reglas de redistribución definidas 

en el VR para determinar si la ruta tiene que ser eliminada de otro protocolo de 

enrutamiento del VR. Observe que todas las reglas de redistribución se aplican 

cuando se añade o se elimina una ruta. No existe el concepto de orden de las reglas 

o de “primera regla aplicable” para las reglas de redistribución. 

NOTA: Se puede definir sólo una regla de redistribución entre dos protocolos 

cualesquiera. 

En el dispositivo de seguridad, se configura un mapa de rutas para especificar qué 

rutas van a ser redistribuidas y los atributos de las rutas redistribuidas. 

Configurar un mapa de rutas 

Un mapa de rutas consiste en un conjunto de declaraciones que se aplican en orden 

secuencial a una ruta. Cada declaración del mapa de rutas define una condición que 

se comprueba con la ruta. Una ruta se compara con cada declaración de un mapa 

de rutas determinado en orden creciente del número de secuencia hasta que haya 

una coincidencia, entonces se realiza la acción especificada en la declaración. Si la 

ruta cumple la condición de la declaración del mapa de rutas, la ruta es aceptada o 

rechazada. Una declaración del mapa de rutas puede también modificar ciertos 

atributos de una ruta coincidente. Hay un rechazo implícito al final de todo mapa de 

rutas; esto es, si una ruta no coincide con ninguna entrada del mapa de rutas, se 

rechaza. La Tabla 3 detalla las condiciones de comparación del mapa de rutas y 

ofrece una descripción de cada una.

Tabla 3: Condiciones de comparación del mapa de rutas 

Condición de 

comparación Descripción 


BGP AS Path Compara con una lista de acceso AS path determinada. Consulte “Filtrar 

rutas” en la página 42. 

BGP Community Compara con una lista de comunidades determinada. Consulte “Filtrar 


OSPF route type Compara con un OSPF interno, externo de tipo 1 o externo de tipo 2. 

Interface Compara con una interfaz determinada. 

IP address Compara con una lista de acceso determinada. Consulte “Filtrar rutas” 

en la página 42. 

Metric Compara con un valor de métrica de ruta determinado 

Next-hop Compara con una lista de acceso determinada. Consulte la “Filtrar rutas” 


Tag Compara con una dirección IP o etiqueta de ruta determinada. 

Para cada condición de comparación, se especifica si una ruta que cumple la 

condición es aceptada (“permitted”) o rechazada (“denied”). Si una ruta cumple 

la condición y es aceptada, se puede opcionalmente dar valor a los atributos para 

la ruta. La Tabla 4 detalla los atributos del mapa de rutas y las descripciones de 

cada uno. 

Tabla 4: Atributos del mapa de rutas 

Conjunto de atributos Descripción 

BGP AS Path Añade una lista de acceso AS path determinada al principio de lista de 

atributos de camino de la ruta coincidente. 

BGP Community Fija el atributo de comunidad de la ruta coincidente a la lista de 

comunidades especificada. 

BGP local preference Fija el atributo local-pref de la ruta coincidente al valor especificado. 

BGP weight Establece el peso de la ruta coincidente. 

Offset metric Aumenta la métrica de la ruta coincidente hasta el valor especificado. 

Esto aumenta la métrica en una ruta menos deseable. Para las rutas 

RIP, se puede aplicar el incremento tanto a las rutas notificadas 

(route-map out) o a las rutas aprendidas (route-map in). Para otras 

rutas, puede aplicar el incremento a las rutas que se exportan a 

otro VR. 

OSPF metric type Fija el tipo de métrica OSPF de la ruta coincidente a externo tipo 1 o 

externo tipo 2. 

Metric Fija la métrica de la ruta coincidente al valor especificado. 

Next-hop of route Fija el siguiente salto de la ruta coincidente a la dirección IP 

especificada. 

Preserve metric Preserva la métrica de una ruta coincidente que se exporta a otro VR. 

Preserve preference Conserva el valor de preferencia de la ruta coincidente que se exporta a 

otro VR. 

Tag Fija la etiqueta de la ruta coincidente al valor especificado o la 

dirección IP. 



Filtrar rutas 


El filtrado de rutas permite controlar qué rutas se admiten en una VR, cuáles se 

notifican a los interlocutores y cuáles se redistribuyen de un protocolo de 

enrutamiento a otro. Se pueden aplicar filtros a las rutas entrantes enviadas por un 

interlocutor de enrutamiento o a rutas salientes enviadas por el VR de seguridad a 

los enrutadores de interlocución. Se pueden utilizar los siguientes mecanismos de 

filtrado: 

Lista de acceso: Consulte ”Configurar una lista de acceso” para obtener 

información sobre la configuración de la lista de acceso. 

Lista de acceso BGP AS-path: Un atributo AS-path es una lista de los sistemas 

autónomos por los que ha pasado una notificación de ruta y es parte de la 

información de ruta. Una lista de acceso AS-path es un conjunto de expresiones 

regulares que representan ASs específicos. Se puede utilizar una lista de acceso 

AS-path para filtrar las rutas según el AS por el que ha pasado la ruta. Consulte 

“Configurar una lista de acceso AS-Path” en la página 123 para obtener 

información sobre la configuración de una lista de acceso AS-path. 

Lista de comunidades BGP: Un atributo de comunidad contiene los 

identificadores de las comunidades a las que pertenece una ruta BGP. Una lista 

de comunidades BGP es un conjunto de comunidades BGP que se puede utilizar 

para filtrar las rutas según las comunidades a las que pertenecen. Consulte 

“Comunidades BGP” en la página 131 para obtener información sobre la 

configuración de la lista de comunidades BGP. 

Configurar una lista de acceso 

Una lista de acceso es una lista de declaraciones con la que se compara la ruta. 

Cada declaración especifica la dirección/máscara IP de un prefijo de red y el estado 

de reenvío (acepta o rechaza la ruta). Por ejemplo, una declaración de una lista de 

acceso puede permitir las rutas de la subred 1.1.1.0/24. Otra de la misma lista de 

acceso puede rechazar rutas de la subred 2.2.2.0/24. Si una ruta coincide con la 

declaración de la lista de acceso, se aplica el estado de reenvío especificado. 

La secuencia de declaraciones en una lista de acceso es importante, puesto que una 

ruta se compara ordenadamente con todas las declaraciones desde la primera hasta 

que coincide con una. Si hay una coincidencia, todas las demás de la lista se 

ignoran. Se deben colocar las declaraciones más específicas antes de las menos 

específicas. Por ejemplo, colocar la declaración que rechaza las rutas de la subred 

1.1.1.1/30 antes de la que permite las rutas de la subred 1.1.1.0/24. 

También puede utilizar listas de acceso para controlar el flujo del tráfico multicast. 

Para obtener información, consulte “Listas de acceso” en la página 141. 

En este ejemplo, se crea una lista de acceso en el trust-vr. La lista de acceso tiene las 

siguientes características: 

Identifier: 2 (se debe especificar un identificador de lista de acceso cuando se 

configura la lista de acceso) 

Forwarding Status: permit 

IP Address/Netmask Filtering: 1.1.1.1/24


Sequence Number: 10 (sitúa esta declaración con respecto a otras en la lista de 

acceso) 

WebUI 

Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): 


Access List ID: 2 

Sequence No.: 10 

IP/Netmask: 1.1.1.1/24 

Action: Permit 

CLI 

set vrouter trust-vr access-list 2 permit ip 1.1.1.1/24 10 

save 

Redistribuir rutas en OSPF 

En este ejemplo, se redistribuyen determinadas rutas BGP que han pasado por el 

sistema autónomo 65000 en OSPF. Primero se configura una lista de acceso 

AS-path que permite las rutas que han pasado por el AS 65000. (Para obtener más 

información sobre la configuración de una lista de acceso AS-path, consulte 

“Configurar una lista de acceso AS-Path” en la página 123). A continuación, se 

configura un mapa de rutas “rtmap1” que selecciona las rutas de la lista de acceso 

AS-path. Por último, en OSPF se especifica una regla de redistribución que utiliza el 

mapa de rutas “rtmap1” y luego especifica BGP como protocolo de origen de las 

rutas. 

WebUI 

1. Lista de acceso BGP AS-path 

Network > Routing > Virtual Routers > Edit (para el trust-vr) > Edit BGP 

Instance > AS Path: Introduzca los siguientes datos y haga clic en Add: 

AS Path Access List ID: 1 

Permit: (seleccione) 

AS Path String: _65000_ 

2. Mapa de rutas 

Network > Routing > Virtual Routers > Route Map > New (para el trust-vr): 


Map Name: rtmap1 


Action: Permit (seleccione) 

Match Properties: 

AS Path: (seleccione), 1 

3. Regla de redistribución 

Network > Routing > Virtual Router > Edit (para el trust-vr) > Edit OSPF 

Instance > Redistributable Rules: Seleccione los siguientes datos y haga clic en 

Add: 

Route Map: rtmap1 

Protocol: BGP 



CLI 


1. Lista de acceso BGP AS-path 

set vrouter trust-vr protocol bgp as-path-access-list 1 permit _65000_ 



ns(trust-vr)-> set route-map name rtmap1 permit 10 

ns(trust-vr/rtmap1-10)-> set match as-path 1 

ns(trust-vr/rtmap1-10)-> exit 

ns(trust-vr)-> exit 

3. Regla de redistribución 

set vrouter trust-vr protocol ospf redistribute route-map rtmap1 protocol bgp 

save 

Exportar e importar rutas entre enrutadores virtuales 

Si tenemos dos VRs configurados en un dispositivo de seguridad, se puede permitir 

que rutas especificadas en un VR sean reconocidas por el otro VR. Para hacerlo, se 

deben definir reglas de exportación en el VR origen que exporten las rutas al VR 

destino. Cuando se exportan rutas, un enrutador virtual permite a otros VR 

reconocer su red. En el VR destino, se pueden configurar opcionalmente reglas de 

importación para controlar las rutas que pueden ser importadas del VR origen. Si no 

hay reglas de importación en el VR destino, se aceptan todas las rutas exportadas. 

Para exportar e importar rutas entre enrutadores virtuales: 

1. Definir una regla de exportación en el VR origen. 

2. Definir una regla de importación en el VR destino (opcional). Aunque este paso 

es opcional, una regla de importación permite un mayor control de las rutas 

que el enrutador virtual de destino acepta del enrutador virtual de origen. 

En el dispositivo de seguridad, se configura una regla de exportación o importación 

con las especificaciones que se dan a continuación: 

El enrutador virtual de destino (para las reglas de exportación) o el enrutador 

virtual de origen (para las reglas de importación) 

El protocolo de las rutas que van a ser exportadas/importadas 

Qué rutas van a ser exportadas/importadas 

Los atributos nuevos o modificados de las rutas exportadas/importadas 

(opcional) 

La configuración de una regla de exportación o importación es similar a la de una 

regla de redistribución. Se configura un mapa de rutas para especificar qué rutas van 

a ser exportadas/importadas y los atributos de las mismas. 

Se puede configurar la exportación automática de todas las entradas de la tabla de 

rutas del trust-vr al untrust-vr. Se puede configurar también que un enrutador virtual 

definido por el usuario exporte automáticamente rutas a otro enrutador virtual. Las 

rutas de las redes directamente conectadas a las interfaces en modo NAT no pueden 

ser exportadas.

Configurar una regla de exportación 


En este ejemplo, las rutas OSPF de la red 1.1.1.1/24 del enrutador virtual trust-vr se 

exportan al dominio de enrutamiento del untrust-vr. Primero se crea una lista de 

acceso para el prefijo de red 1.1.1.1/24, que luego se utiliza en el mapa de rutas 

“rtmap1” para filtrar las rutas de la red 1.1.1.1/24. En segundo lugar, se crea una 

regla de exportación de ruta para exportar las rutas OSPF coincidentes del trust-vr 

al enrutador virtual untrust-vr. 

WebUI 

trust-vr 

1. Lista de accesos 





IP/Netmask: 1.1.1.1/24 



Network > Routing > Virtual Routers > Route Map > New (para el trust-vr): 




Action: permit (seleccione) 


Access List: (seleccione), 2 

3. Regla de exportación 

Network > Routing > Virtual Routers > Export Rules > New (para el trust-vr): 


CLI 

trust-vr 

Destination Virtual Router: untrust-vr 

Route Map: rtmap1 

Protocol: OSPF 



ns(trust-vr)-> set access-list 2 permit ip 1.1.1.1/24 10 


ns(trust-vr)-> set route-map name rtmap1 permit 10 

ns(trust-vr/rtmap1-10)-> set match ip 2 

ns(trust-vr/rtmap1-10)-> exit 

3. Regla de exportación 

ns(trust-vr)-> set export-to vrouter untrust-vr route-map rtmap1 protocol ospf 


save 




Configurar la exportación automática 

Se puede configurar la exportación automática de todas las rutas del trust-vr al 

untrust-vr. 

PRECAUCIÓN: Esta característica puede anular el aislamiento entre trust-vr y 

untrust-vr, ya que hace que todas las rutas fiables sean visibles en la red no fiable. 

Si se definen reglas de importación para el untrust-vr, sólo se importan las rutas que 

cumplan las reglas de importación. En este ejemplo, el trust-vr exporta 

automáticamente todas las rutas al untrust-vr, pero una regla de importación del 

untrust-vr permite que se exporten sólo las rutas de OSPF interno. 

WebUI 

trust-vr 

Network > Routing > Virtual Router > Edit (para el trust-vr): Seleccione Auto 

Export Route to Untrust-VR, luego haga clic en OK. 

untrust-vr 

Network > Routing > Virtual Router > Route Map (para untrust-vr) > New: 


CLI 

Map Name: from-ospf-trust 


Action: permit (seleccione) 

Route Type: internal-ospf (seleccione) 

trust-vr 

set vrouter trust-vr auto-route-export 

untrust-vr 

set vrouter untrust-vr 

ns(untrust-vr)-> set route-map name from-ospf-trust permit 10 

ns(untrust-vr/from-ospf-trust-10)-> set match route-type internal-ospf 

ns(untrust-vr/from-ospf-trust-10)-> exit 

ns(untrust-vr)-> set import-from vrouter trust-vr route-map from-ospf-trust protocol 

ospf 

ns(untrust-vr)-> exit 

save

Capítulo 3 

Protocolo OSPF 

En este capítulo se describe el protocolo de enrutamiento OSPF (Open Shortest Path 

First) en los dispositivos de seguridad. Contiene las siguientes secciones: 


“Áreas” en la página 48 

“Clasificación de enrutadores” en la página 49 

“Protocolo de saludo” en la página 50 

“Tipos de redes” en la página 50 

“Notificaciones de estado de conexiones” en la página 51 

“Configuración básica de OSPF” en la página 51 

“Crear y eliminar una instancia de enrutamiento de OSPF” en la página 53 

“Crear y eliminar un área OSPF” en la página 54 

“Asignar interfaces a un área OSPF” en la página 55 

“Habilitar OSPF en interfaces” en la página 56 

“Comprobar la configuración” en la página 58 

“Redistribución de rutas en protocolos de enrutamiento” en la página 59 

“Resumen de rutas redistribuidas” en la página 60 

“Parámetros globales de OSPF” en la página 61 

“Notificar la ruta predeterminada” en la página 62 

“Conexiones virtuales” en la página 63 

“Ajustar parámetros de interfaz OSPF” en la página 65 

47


Vista general 

Áreas 


“Configuración de seguridad” en la página 67 

“Autenticar vecinos” en la página 67 

“Configurar una lista de vecinos de OSPF” en la página 68 

“Rechazar rutas predeterminadas” en la página 69 

“Proteger contra inundaciones” en la página 70 

“Crear un circuito de demanda OSPF en una interfaz de túnel” en la página 71 

“Interfaz de túnel punto a multipunto” en la página 72 

“Establecer el tipo de conexión OSPF” en la página 72 

“Inhabilitar la restricción Route-Deny” en la página 72 

“Crear una red punto a multipunto” en la página 73 

El protocolo de enrutamiento OSPF (Open Shortest Path First, abrir primero la ruta 

más corta) es un protocolo de puerta de enlace interior (IGP) desarrollado para 

ejecutarse dentro de un único sistema autónomo (AS). Un enrutador que ejecute 

OSPF distribuye su información de estado (como interfaces disponibles para el uso 

y accesibilidad por parte de equipos vecinos) inundando periódicamente el sistema 

autónomo con notificaciones de estado de conexiones (LSA, link-state 

advertisements). 

Los enrutadores OSPF utilizan las LSAs de los enrutadores contiguos para actualizar 

una base de datos de estado de conexiones. Esta base de datos es una tabla que 

informa de la topología y el estado de las redes de un área. La distribución 

constante de las LSAs a través del dominio de enrutamiento permite a todos los 

enrutadores de un sistema autónomo disponer de bases de datos de estado de 

conexiones idénticas. 

El protocolo OSPF utiliza la base de datos de estado de conexiones para determinar 

cuál es la mejor ruta a una red cualquiera dentro del sistema autónomo. Esto se 

consigue generando un árbol de ruta más corta, que es una representación gráfica 

de la ruta más corta a una determinada red dentro del sistema autónomo. Aunque 

todos los enrutadores tienen la misma base de datos de estado de conexiones, cada 

enrutador tiene su propio árbol de rutas más cortas, ya que cada uno genera su 

árbol y se coloca en su parte superior.. 

De forma predeterminada, todos los enrutadores se agrupan en una única área 

troncal llamada area 0 o “backbone” (normalmente es el área 0.0.0.0). Sin 

embargo, las redes de gran tamaño que se encuentran dispersas geográficamente 

se suelen segmentar en múltiples áreas. A medida que la red se amplía, las bases de 

datos de estado de conexión también crecen y se dividen en grupos más pequeños 

para mejorar su posibilidad de ampliación.

Clasificación de enrutadores 

Capítulo 3: Protocolo OSPF 

Las áreas reducen el volumen de información de enrutamiento que pasa a través de 

la red, ya que cada enrutador sólo tiene que actualizar la base de datos de estado 

del área a la que pertenece. No necesita actualizar la información de estado de las 

redes o enrutadores que se encuentran en otras áreas. Un enrutador conectado a 

múltiples áreas mantiene una base de estado de conexiones por cada área a la que 

está conectado. Las áreas deben estar conectadas directamente al área 0, excepto 

cuando crean una conexión virtual. Para obtener más información sobre 

conexiones virtuales, consulte la página 63. 

Las notificaciones externas de AS describen rutas a destinos en otros sistemas AS e 

inundan todo un AS. Ciertas áreas OSPF se pueden configurar como áreas de rutas 

internas (stub areas); de este modo, las notificaciones externas de sistemas 

autónomos no inundarán estas áreas. En OSPF se utilizan normalmente dos tipos 

de áreas habituales: 

Área de ruta interna: área que recibe resúmenes de ruta del área troncal pero 

que no recibe notificaciones de estado de conexiones de otras áreas acerca de 

enrutadores reconocidos por protocolos distintos a OSPF (BGP, por ejemplo). 

Un área de ruta interna se puede considerar un área exclusiva de rutas internas 

(totally stubby) si en ella no se admiten rutas de resumen. 

Área NSSA: al igual que las áreas de rutas internas normales, las NSSAs (Not So 

Stubby Area, áreas no exclusivas de rutas internas) no pueden recibir 

enrutadores de protocolos distintos de OSPF fuera del área actual. Sin embargo, 

los enrutadores externos conocidos dentro del área también se pueden 

reconocer en otras áreas, y así pasar a ellas. 

Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo 

con su función o su posición en la red: 

Enrutador interno: enrutador cuyas interfaces pertenecen a la misma área. 

Enrutador de área troncal: enrutador con una interfaz en el área troncal. 

Enrutador de borde de área: enrutador conectado a dos o más áreas. Este tipo 

de enrutador resume las rutas desde distintas áreas para su distribución al área 

troncal. En los dispositivos de seguridad con OSPF, el área troncal se crea de 

forma predeterminada. Si se crea una segunda área en un enrutador virtual, el 

dispositivo funcionará como enrutador de borde de área. 

Enrutador de límite de sistema autónomo: cuando un área OSPF limita con 

otro sistema autónomo, el enrutador situado entre los dos sistemas autónomos 

se considera el enrutador de límite. Estos enrutadores se encargan de distribuir 

la información de enrutamiento de los sistemas autónomos externos por su 

sistema autónomo. 

Vista general 49


Protocolo de saludo 

Tipos de redes 


Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los 

enrutadores utilizan el protocolo de saludo para establecer y mantener estas 

relaciones de vecindad. Cuando dos enrutadores establecen comunicación 

bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores no 

establecen una relación de adyacencia, no podrán intercambiar información de 

enrutamiento. 

Cuando hay múltiples enrutadores en una red, es necesario configurar un enrutador 

como enrutador designado y otro como enrutador designado de respaldo. El 

enrutador designado es responsable de inundar la red con LSAs que contengan una 

lista de todos los enrutadores que admitan OSPF incorporados a la red. El enrutador 

designado es el único que puede formar adyacencias con otros enrutadores de la 

red. Así, el enrutador designado es el único de la red que puede proporcionar 

información de enrutamiento al resto de enrutadores. El enrutador designado de 

respaldo sustituye al enrutador designado en caso de que éste falle. 

Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de 

redes OSPF: 

Redes de difusión 

Redes punto a punto 

Redes punto a multipunto 

Redes de difusión 

Una red de difusión es una red que interconecta varios enrutadores y que puede 

enviar (o difundir) un único mensaje físico a todos los enrutadores conectados. Se 

parte de la base de que dos enrutadores cualesquiera en una red de difusión son 

capaces de comunicarse entre sí. Ethernet es un ejemplo de red de difusión. 

En las redes de difusión, el enrutador OSPF detecta dinámicamente los enrutadores 

vecinos enviando paquetes de saludo a la dirección multidifusión 224.0.0.5. En las 

redes de difusión, el protocolo de saludo decide cuál será el enrutador designado y 

el enrutador designado de respaldo para la red. 

Una red que no sea de difusión conecta varios enrutadores entre sí pero no puede 

difundir mensajes a los enrutadores conectados. En las redes que no son de 

difusión, los paquetes del protocolo OSPF (que normalmente son multidifusión) se 

tienen que enviar a cada uno de los enrutadores vecinos. Los dispositivos de 

seguridad Juniper Networks no admiten OSPF en redes que no sean de difusión. 

Redes punto a punto 

Una red punto a punto une dos enrutadores a través de una red de área extensa 

(WAN). Un ejemplo de red punto a punto serían dos dispositivos de seguridad 

conectados a través de un túnel VPN IPSec. En las redes punto a punto, el enrutador 

OSPF detecta dinámicamente los enrutadores vecinos enviando paquetes de saludo 

a la dirección multicast 224.0.0.5.

Redes punto a multipunto 

Notificaciones de estado de conexiones 

Tabla 5: Resumen del contenido y tipos de LSA 

Tipo de LSA Enviado por 

LSA de 

enrutador 

Configuración básica de OSPF 


Una red punto a multipunto es una red de no difusión en la que OSPF trata las 

conexiones entre enrutadores como vínculos punto a punto. Para la red no existe 

ninguna elección de un enrutador designado ni de inundación LSA. Un enrutador 

en una red punto a multipunto envía paquetes de saludo a todos los vecinos con 

quienes pueda comunicarse directamente. 

NOTA: En dispositivos de seguridad, la configuración punto a multipunto del OSPF 

solamente se admite en interfaces de túnel y se debe inhabilitar route-deny para 

que la red funcione correctamente. No se puede configurar una interfaz física 

Ethernet para conexiones punto a multipunto. Para obtener más información, 

consulte “Interfaz de túnel punto a multipunto” en la página 72. 

Cada enrutador OSPF envía notificaciones de estado de conexiones (LSAs) que 

definen la información de estado local del enrutador. Además, hay otros tipos de 

LSA que un enrutador envía, dependiendo de la función de OSPF del enrutador. La 

Tabla 5 detalla los tipos de LSA, donde se abarca cada tipo y el contenido de cada 

tipo de LSA. 

Distribuido 

por Información enviada en la LSA 

Todos los enrutadores OSPF Área Describe el estado de todas las interfaces de enrutador en 

toda el área. 

LSA de red Enrutador designado en redes de 

difusión y NBMA 

LSA de 

resumen 

Externo de 

sistema 

autónomo 

Área Contiene una lista de todos los enrutadores conectados a la 

red. 

Enrutadores de borde de área Área Describe una ruta a un destino fuera del área, pero dentro 

del sistema autónomo. Hay dos tipos: 

Las LSAs de resumen de tipo 3 describen rutas a redes. 

Las LSAs de resumen de tipo 4 describen rutas limítrofes 

con otros sistemas autónomos. 

Enrutador de límite de sistema 

autónomo 

Sistema 

autónomo 

Rutas a redes en otro sistema autónomo. A menudo, se 

trata de la ruta predeterminada (0.0.0.0/0). 

Creará OSPF por cada enrutador virtual en un dispositivo de seguridad. Si dispone 

de varios enrutadores virtuales (VR) en un sistema, podrá habilitar una instancia de 

OSPF por cada enrutador virtual. 

NOTA: Antes de configurar un protocolo de enrutamiento dinámico en el dispositivo de 

seguridad, deberá asignar una ID de enrutador virtual, tal y como se describe en el 

Capítulo 2,“Enrutamiento”. 

Configuración básica de OSPF 51


Figura 12: Ejemplo de configuración de OSPF 

52 Configuración básica de OSPF 

En esta sección se describen los pasos básicos para configurar OSPF en un 

enrutador virtual ubicado en un dispositivo de seguridad: 

1. Crear y habilitar la instancia de enrutamiento de OSPF en un enrutador virtual. 

En este paso también se crea automáticamente un área troncal de OSPF, con 

una ID de área de 0.0.0.0, que no se podrá eliminar. 

2. (Opcional) A menos que todas las interfaces OSPF se conecten al área troncal, 

tendrá que configurar una nueva área OSPF con su propia ID de área. Por 

ejemplo, si el dispositivo de seguridad va a funcionar como enrutador de borde 

de área, tendrá que crear otra área OSPF además del área troncal. La nueva 

área que se cree podrá ser normal, de rutas internas o no exclusiva de rutas 

internas. 

3. Asignar una o varias interfaces a cada área OSPF. Las interfaces se deben 

agregar a un área OSPF explícitamente, incluyendo el área troncal. 

4. Habilitar OSPF en cada interfaz. 

5. Comprobar que el protocolo OSPF está configurado correctamente y funciona. 

En este ejemplo configuraremos el dispositivo de seguridad como enrutador de 

borde de área conectándolo al área 0 a través de la interfaz ethernet3 y al área 10 a 

través de ethernet1. Consulte la Figura 12. 

Zona Trust ethernet1 ethernet3 Zona Untrust 

10.1.1.0/24 10.1.2.0/24 

Área 10 

Internet 

Área 0 

Opcionalmente también es posible configurar otros parámetros de OSPF, como: 

Parámetros globales, como conexiones virtuales, que se configuran en el 

enrutador virtual para el protocolo OSPF (consulte “Parámetros globales de 

OSPF” en la página 61). 

Parámetros de interfaz, como la autenticación, que se configuran en la interfaz 

para el protocolo OSPF (consulte “Ajustar parámetros de interfaz OSPF” en la 

página 65). 

Parámetros OSPF relacionados con la seguridad, que se configuran en el 

enrutador virtual o en la interfaz (consulte “Configuración de seguridad” en la 

página 67).

Crear y eliminar una instancia de enrutamiento de OSPF 


Es posible crear y habilitar una instancia de enrutamiento de OSPF en un VR 

específico ubicado en un dispositivo de seguridad. Para eliminar una instancia de 

enrutamiento de OSPF, desactive la instancia OSPF y luego elimínela. Al crear la 

instancia de enrutamiento de OSPF se crea automáticamente el área troncal OSPF. 

Si crea y habilita una instancia de enrutamiento de OSPF en un enrutador virtual, 

OSPF podrá transmitir y recibir paquetes en todas las interfaces habilitadas para 

OSPF del enrutador. 

Crear una instancia de OSPF 

En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a 

trust-vr. A continuación creará una instancia de enrutamiento de OSPF en él. (Para 

obtener más información sobre enrutadores virtuales y su configuración en 

dispositivos de seguridad, consulte el Capítulo 2, “Enrutamiento.”) 

WebUI 

1. ID de enrutador 





2. Instancia de enrutamiento de OSPF 

Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instance: 

Seleccione OSPF Enabled, luego haga clic en OK. 

CLI 



2. Instancia de enrutamiento de OSPF 

set vrouter trust-vr protocol ospf 

set vrouter trust-vr protocol ospf enable 

save 

NOTA: En la línea de comandos CLI, tendrá que crear la instancia de enrutamiento de 

OSPF antes de poder habilitarla. Por lo tanto, tendrá que ejecutar dos comandos 

CLI para habilitar una instancia de enrutamiento de OSPF. 

Eliminar una instancia de OSPF 

En este ejemplo inhabilitará la instancia de enrutamiento de OSPF en el enrutador 

virtual trust-vr. OSPF dejará de transmitir y procesar paquetes OSPF en todas las 

interfaces habilitadas para OSPF en el enrutador trust-vr. 

WebUI 

Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: 

Desactive OSPF Enabled, luego haga clic en OK. 

Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF 

Instance, luego haga clic en OK en el mensaje de confirmación. 




CLI 

Crear y eliminar un área OSPF 

unset vrouter trust-vr protocol ospf 

deleting OSPF instance, are you sure? y/[n] y 

save 

NOTA: En CLI, confirme la eliminación de la instancia OSPF. 

Las áreas reducen el volumen de información de enrutamiento que tiene que pasar 

por la red, ya que los enrutadores OSPF sólo actualizan la base de datos de estado 

de conexiones del área a la que pertenecen. No necesitan actualizar la información 

de estado de las redes o enrutadores que se encuentran en otras áreas. 

Todas las zonas deben conectarse a la zona 0, que se crea al configurar una 

instancia de enrutamiento OSPF en el enrutador virtual. Si es necesario crear un 

área OSPF adicional, también es posible definirla como área de rutas internas o 

área no exclusiva de rutas internas. Si desea más información sobre estos tipos de 

áreas, consulte “Áreas” en la página 48. 

La Tabla 6 detalla los parámetros de área, con descripciones de cada parámetro e 

indica el valor predeterminado de cada uno de éstos. 

Tabla 6: Parámetros de áreas de OSPF y sus valores predeterminados 

Parámetro de área Descripción 

Metric for default route (Sólo áreas NSSA y de rutas internas). Especifica 

la métrica para la notificación de ruta 


Metric type for the default 

route 

Crear un área OSPF 

En el siguiente ejemplo creará un área OSPF con la ID de area 10. 

WebUI 

Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance 

> Area: Introduzca los siguientes datos y haga clic en OK: 

Area ID: 10 

Type: normal (seleccione) 

Action: Add 

(Sólo área NSSA). Especifica el tipo de métrica 

externa (1 ó 2) para la ruta predeterminada. 

No summary (Sólo áreas NSSA y de rutas internas). Especifica 

que las LSAs de resumen no se difundirán por el 

área 

Range (Todas las áreas). Especifica un rango de 

direcciones IP que se notificarán en las LSAs de 

resumen, y si éstas se notificarán o no. 

Valor 

predeterminado 

1 

1 

Las LSAs de 

resumen se 

difunden por el 

área. 

—

CLI 

set vrouter trust-vr protocol ospf area 10 

save 

Eliminar un área OSPF 

Asignar interfaces a un área OSPF 


Antes de que pueda eliminar un área de OSPF, debe desactivar el proceso de OSPF 

para VR. En el siguiente ejemplo, detenga el proceso de OSPF y luego elimine un 

área de OSPF con una ID de área de 10. 

WebUI 

Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: 

Anule la selección de OSPF Enabled, luego haga clic en OK. 


> Area: Haga clic en Remove. 

CLI 

unset vrouter trust-vr protocol ospf enable 

unset vrouter trust-vr protocol ospf area 0.0.0.10 

save 

Una vez se ha creado un área, es posible asignarle una o varias interfaces, ya sea 

utilizando la WebUI o el comando CLI set interface. 

Asignar interfaces a áreas 

En el siguiente ejemplo asignará la interfaz ethernet1 al área OSPF 10 y la interfaz 

ethernet3 al área OSPF 0. 

WebUI 


> Area > Configure (Area 10): Utilice el botón Add para mover la interfaz 

ethernet1 de la columna Available Interface(s) a la columna Selected Interfaces. 

Haga clic en OK. 

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF 

Instance > Area > Configure (Area 0): Utilice el botón Add para mover la 

interfaz ethernet3 de la columna Available Interface(s) a la columna Selected 

Interfaces. Haga clic en OK. 

CLI 

set interface ethernet1 protocol ospf area 10 

set interface ethernet3 protocol ospf area 0 

save 



Habilitar OSPF en interfaces 


Configurar un rango de áreas 

De forma predeterminada, un enrutador de borde de área no agrega las rutas 

enviadas de un área a otra. Si configura un rango de áreas permitirá que un grupo 

de subredes en un área se consolide en una única dirección de red para notificarse 

en otras áreas por medio de una única notificación de conexión de resumen. Al 

configurar un rango de áreas, deberá especificar si desea notificar o retener el rango 

de áreas definido en las notificaciones. 

En el siguiente ejemplo definirá los siguientes rangos de áreas para el area 10: 

10.1.1.0/24, se notificará. 

10.1.2.0/24, no se notificará. 

WebUI 


Instance > Area > Configure (0.0.0.10): Introduzca los siguientes datos en la 

sección Area Range y haga clic en Add: 

IP / Netmask: 10.1.1.0/24 

Type: (seleccione) Advertise 

Introduzca los siguientes datos en la sección Area Range y haga clic en Add: 

IP / Netmask: 10.1.2.0/24 

Type: (seleccione) No Advertise 

CLI 

set vrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise 

set vrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise 

save 

De forma predeterminada, el protocolo OSPF está inhabilitado en todas las 

interfaces del enrutador virtual (VR). Este protocolo se debe habilitar explícitamente 

en una interfaz antes de poder asignarla a un área. Si se desactiva OSPF en una 

interfaz, dejará de transmitir o recibir paquetes en esa interfaz, pero sus 

parámetros de configuración se conservarán. 

NOTA: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual 

(consulte “Eliminar una instancia de OSPF” en la página 53), OSPF dejará de 

transmitir y procesar paquetes en todas las interfaces del enrutador que tengan 

este protocolo habilitado. 

Habilitar OSPF en interfaces 

En este ejemplo habilitará la instancia de enrutamiento de OSPF en la interfaz 

ethernet1 (que previamente se había asignado al area 10) y en la interfaz ethernet3 

(que previamente se asignó al area 0).


WebUI 

Network > Interfaces > Edit (para ethernet1) > OSPF: Seleccione Enable 

Protocol OSPF, luego haga clic en Apply. 

Network > Interfaces > Edit (para ethernet3) > OSPF: Seleccione Enable 


CLI 

set interface ethernet1 protocol ospf enable 


save 

Inhabilitar OSPF en una interfaz 

En este ejemplo inhabilitará la instancia de enrutamiento de OSPF únicamente en 

la interfaz ethernet1. Las demás interfaces del enrutador virtual trust-vr (VR) en que 

se habilitó OSPF seguirán transmitiendo y procesando paquetes OSPF. 

WebUI 

Network > Interfaces > Edit (para ethernet1) > OSPF: Elimine Enable 


CLI 

unset interface ethernet1 protocol ospf enable 

save 

NOTA: Si se desactiva la instancia de enrutamiento de OSPF en el enrutador virtual, OSPF 

dejará de transmitir y procesar paquetes en todas las interfaces del enrutador que 

tengan este protocolo habilitado (consulte “Eliminar una instancia de OSPF” en la 

página 53). 



Comprobar la configuración 


Puede ver la configuración introducida para trust-vr ejecutando el siguiente 

comando CLI: 

ns-> get vrouter trust-vr protocol ospf config 

VR: trust-vr RouterId: 10.1.1.250 

---------------------------------set 

protocol ospf 

set enable 

set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise 

set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise 

set interface ethernet1 protocol ospf area 0.0.0.10 


set interface ethernet3 protocol ospf area 0.0.0.0 


Puede verificar si OSPF se está ejecutando en el enrutador virtual con el comando 

get vrouter trust-vr protocol ospf. 

ns-> get vrouter trust-vr protocol ospf 


---------------------------------- 

OSPF enabled 

Supports only single TOS(TOS0) route 

Internal Router 

Automatic vlink creation is disabled 

Numbers of areas is 2 

Number of external LSA(s) is 0 

SPF Suspend Count is 10 nodes 

Hold time between SPFs is 3 second(s) 

Advertising default-route lsa is off 

Default-route discovered by ospf will be added to the routing table 

RFC 1583 compatibility is disabled. 

Hello packet flooding protection is not enabled 

LSA flooding protection is not enabled 

Area 0.0.0.0 

Total number of interfaces is 1, Active number of interfaces is 1 

SPF algorithm executed 2 times 

Number of LSA(s) is 1 

Area 0.0.0.10 

Total number of interfaces is 1, Active number of interfaces is 1 

SPF algorithm executed 2 times 

Number of LSA(s) is 0 

Las zonas resaltadas muestran que OSPF se está ejecutando y verifican las zonas 

OSPF activas y las interfaces activas en cada zona OSPF. 

NOTA: Es recomendable asignar una ID de enrutador de forma explícita, en lugar de 

utilizar el valor predeterminado. Para más información sobre cómo configurar una 

ID de enrutador, consulte el Capítulo 2, “Enrutamiento.”

Puede verificar si OSPF está habilitado en las interfaces y ver el estado de las 

interfaces con el comando get vrouter trust-vr protocol ospf interface. 


ns-> get vrouter trust-vr protocol ospf interface 


---------------------------------- 

Interface IpAddr NetMask AreaId Status State 

-------------------------------------------------------------------------------ethernet3 

2.2.2.2 255.255.255.0 0.0.0.0 enabled Designated Router 

ethernet1 10.1.1.1 255.255.255.0 0.0.0.10 enabled Up 

Puede configurar la prioridad del enrutador virtual que desee seleccionar: el 

enrutador designado (DR) o el enrutador designado de respaldo (BDR). En el 

ejemplo anterior, la columna del estado (State) enumerar la prioridad del 

enrutador virtual. 

Puede verificar si la instancia de enrutamiento de OSPF en el dispositivo de 

seguridad ha establecido adyacencias con los vecinos OSPF ejecutando el 

comando get vrouter trust-vr protocol ospf neighbor. 

ns-> get vrouter trust-vr protocol ospf neighbor 


---------------------------------- 

Neighbor(s) on interface ethernet3 (Area 0.0.0.0) 

IpAddr/If Index RouterId Priority State Options 

------------------------------------------------------------------------------ 

2.2.2.2 2.2.2.250 1 Full E 

Neighbor(s) on interface ethernet1 (Area 0.0.0.10) 

IpAddr/If Index RouterId Priority State Options 

------------------------------------------------------------------------------ 

10.1.1.1 10.1.1.252 1 Full E 

En la columna “State” del ejemplo anterior, “Full” indica adyacencias OSPF 

completas con vecinos. 

Redistribución de rutas en protocolos de enrutamiento 

La redistribución de rutas es el intercambio de información sobre rutas entre 

protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos 

de rutas en la instancia de enrutamiento de OSPF de un mismo enrutador virtual: 

Rutas reconocidas por BGP o RIP 

Rutas conectadas directamente 

Rutas importadas 


Cuando se configura la redistribución de rutas, primero se debe especificar un 

mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener más 

información sobre la creación de mapas de rutas para la redistribución, consulte el 

Capítulo 2, “Enrutamiento.” 

Redistribución de rutas en protocolos de enrutamiento 59


60 Resumen de rutas redistribuidas 

En el siguiente ejemplo redistribuirá en el dominio de enrutamiento OSPF actual 

una ruta originada en un dominio de enrutamiento BGP. Tanto en el ejemplo de la 

WebUI como en el de la CLI, partiremos de la base de que ya ha creado un mapa de 

rutas llamado add-bgp. 

WebUI 


Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en 

Add: 

Route Map: add-bgp 

Protocol: BGP 

Resumen de rutas redistribuidas 

Resumen de rutas redistribuidas 

CLI 

set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp 

save 

En las grandes redes, donde pueden coexistir miles de direcciones de red, ciertos 

enrutadores podrían llegar a congestionarse por la gran cantidad de información de 

rutas. Si ya redistribuyó rutas de un protocolo externo en la instancia de 

enrutamiento OSPF actual, podrá reunir las rutas en una ruta de red general o 

resumida. Al resumir múltiples direcciones, hará que un grupo de rutas se 

reconozcan como una sola, simplificando así el proceso de consulta. 

Una de las ventajas de crear resúmenes de rutas en redes grandes y complejas es 

que se pueden aislar los cambios topológicos de otros enrutadores. Por ejemplo, si 

una conexión específica en un dominio falla continuamente, la ruta resumida no 

cambiaría, de modo que ningún enrutador externo al dominio tendría que 

modificar una y otra vez su tabla de enrutamiento debido a los fallos de conexión. 

Además de crear menos entradas en las tablas de enrutamiento de los enrutadores 

troncales, la generación de resúmenes evita que las LSAs se propaguen por otras 

áreas cuando una de las redes incluidas en el resumen desaparece (por un fallo) o 

reaparece. En los resúmenes también se pueden incluir rutas interzonales y rutas 

externas. 

En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan 

bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Al 

final de esta sección encontrará un ejemplo de creación de una ruta resumida y un 

ejemplo de establecer una interfaz NULL. 

En este ejemplo redistribuirá las rutas BGP a la instancia de enrutamiento OSPF 

actual. A continuación resumirá el conjunto de rutas importadas en la dirección de 

red 2.1.1.0/24.


WebUI 


Instance > Redistributable Rules: Introduzca los siguientes datos y haga clic en 

Add: 

CLI 

Parámetros globales de OSPF 

Route Map: add-bgp 

Protocol: BGP 


Instance > Summary Import: Introduzca los siguientes datos y haga clic en 

Add: 

IP/Netmask: 2.1.1.0/24 

set vrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp 

set vrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24 

save 

En esta sección se describen parámetros globales de OSPF que se pueden 

configurar de forma opcional en un enrutador virtual (VR). Cuando se configura un 

parámetro OSPF en el nivel de enrutador virtual, los datos de configuración 

afectarán a las operaciones de todas las interfaces que tengan habilitado el 

protocolo OSPF. Es posible modificar los valores de los parámetros globales del 

protocolo de enrutamiento OSPF por medio de las interfaces CLI y WebUI. 

La Tabla 7 detalla los parámetros globales de OSPF y sus valores predeterminados. 

Tabla 7: Parámetros globales de OSPF y sus valores predeterminados 

Parámetros 

globales de OSPF Descripción 

Advertise default 

route 

Especifica que una ruta predeterminada activa 

(0.0.0.0/0) en la tabla de rutas del enrutador 

virtual se notifica en todas las áreas OSPF. También 

es posible especificar el valor de métrica o si la 

métrica original de la ruta se preservará, así como 

el tipo de métrica (ASE tipo 1 o tipo 2). También se 

puede especificar que la ruta predeterminada 

siempre se notifique. 

Reject default route Especifica que cualquier ruta predeterminada 

reconocida en OSPF no se agregará a la tabla 

de rutas. 

Automatic virtual 

link 

Maximum hello 

packets 

Especifica que el VR creará una conexión virtual 

automáticamente si no puede acceder al área 

troncal de OSPF. 

Especifica el número máximo de paquetes de 

saludo OSPF que el VR puede recibir en un intervalo 

de saludo. 

Valor 


La ruta 

predeterminada no 

se notifica. 

La ruta 


reconocida en 

OSPF se agrega a la 

tabla de rutas. 

Desactivado. 

10. 

Parámetros globales de OSPF 61


Notificar la ruta predeterminada 

62 Parámetros globales de OSPF 

Parámetros 

globales de OSPF Descripción 

Maximum LSA 

packets 

RFC 1583 

compatibility 

Equal cost 

multipath routing 

(ECMP) 

Virtual link 

configuration 

La ruta predeterminada, 0.0.0.0/0, coincide con cada red de destino en una tabla de 

rutas, aunque un prefijo más específico anulará la ruta predeterminada. 

En este ejemplo, usted anunciará la ruta predeterminada de la instancia de 

enrutamiento OSPF actual. 

WebUI 


Instance: Seleccione Advertising Default Route Enable, luego haga clic en OK. 

CLI 

Especifica el número máximo de paquetes LSA de 

OSPF que el VR puede recibir dentro del intervalo en 

segundos especificado. 

Especifica que la instancia de enrutamiento de OSPF 

es compatible con la norma RFC 1583, una versión 

anterior de OSPF. 

Especifica el número máximo de rutas (1-4) a utilizar 

para equilibrar cargas con los destinos que tengan 

múltiples rutas de igual coste. Consulte “Configurar el 

enrutamiento de rutas múltiples de igual coste” en la 

página 37. 

Configura el área OSPF y la ID de enrutador para la 

conexión virtual. De forma opcional también puede 

configurar el método de autenticación, el intervalo de 

saludo y el de retransmisión, el retardo de 

transmisión o el intervalo muerto del interlocutor 

para la conexión virtual. 

Valor 


No hay valor 

predeterminado. 

OSPF versión 2, tal 

y como se define 

en RFC 2328. 

Desactivado (1). 

No hay conexión 

virtual configurada. 

NOTA: En la WebUI, la métrica predeterminada (1) 62 debe ingresarse manualmente y el 

tipo de métrica predeterminado es ASE tipo 1. 

set vrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1 

save

Conexiones virtuales 


Aunque todas las áreas deben estar conectadas directamente al área troncal, 

algunas veces debe crear un área nueva que no se puede conectar físicamente al 

área troncal. Para resolver este problema se puede configurar una conexión virtual. 

Una conexión virtual proporciona un área remota con una ruta lógica al área troncal 

a través de otra área. 

En los enrutadores, la conexión virtual se debe configurar en los dos extremos de la 

conexión. Para configurar una conexión virtual en el dispositivo de seguridad, debe 

definir: 

La ID del área OSPF que va a cruzar la conexión virtual. No es posible crear una 

conexión virtual que cruce el área troncal o un área de rutas internas. 

La ID del enrutador al otro extremo de la conexión virtual. 

La Tabla 8 detalla los parámetros opcionales para las conexiones virtuales. 

Tabla 8: Parámetros opcionales para conexiones virtuales 

Parámetro de 

conexión 

virtual Descripción 

Authentication Especifica la autenticación por contraseña de texto no 

encriptado o la autenticación MD5. 

Dead interval Especifica el intervalo en segundos en que no se 

producirá respuesta desde un dispositivo OSPF vecino 

antes de que se determine que éste no funciona. 

Hello interval Especifica el tiempo en segundos entre dos 

saludos OSPF. 

Retransmit 

interval 

Especifica el tiempo en segundos que transcurrirá antes 

de que la interfaz reenvíe una LSA a un vecino que no 

respondió a la primera LSA. 

Transmit delay Especifica el tiempo en segundos entre las 

transmisiones de paquetes de actualización de 

estado de conexión enviados a una interfaz. 

Crear una conexión virtual 

Valor 


Sin autenticación 

40 segundos 

10 segundos 

5 segundos 

1 segundo 

En el siguiente ejemplo creará una conexión virtual a través del área OSPF 10 desde 

el Dispositivo-A con ID de enrutador 10.10.1.250 al Dispositivo-B con la ID de 

enrutador 10.1.1.250. Consulte “Enrutamiento” en la página 13 para obtener más 

información sobre la configuración de IDs de enrutadores en los dispositivos de 

seguridad). También puede configurar la conexión virtual con un retardo de tránsito 

de 10 segundos. En cada dispositivo de seguridad, tendrá que identificar la ID de 

enrutador del dispositivo en el otro extremo de la conexión virtual. 

La Figura 13 muestra el ejemplo de configuración de red para una conexión virtual. 

Parámetros globales de OSPF 63


Figura 13: Creación de una conexión virtual 

Área 10 

Dispositivo-A ethernet 1 

Área 20 

64 Parámetros globales de OSPF 

ethernet 2 

ethernet1 

Enrutador 

10.1.1.250 

WebUI (Dispositivo-A) 


Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add: 

Area ID: 10 (seleccione) 

Router ID: 10.1.1.250 

> Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK. 

CLI (Dispositivo-A) 

Dispositivo-B 

ID de 

enrutador 

10.1.1.250 

ethernet2 

El Dispositivo-A y el Dispositivo-B 

tienen una conexión virtual entre sí 

a través del área OSPF 10. 

Área 0 

Internet 

NOTA: Debe habilitar OSPF en ambas interfaces de cada dispositivo y cerciorarse de que 

OSPF se esté ejecutando en las interfaces de los dispositivos A y B antes de que la 

conexión virtual se active. 

set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 

set vrouter trust-vr protocol ospf vlink area-id 10 router-id 10.1.1.250 transit-delay 

10 

save 

NOTA: En la interfaz CLI, primero tendrá que crear la conexión virtual y, a continuación, 

configurar cualquier parámetro opcional para la conexión. Así, en el ejemplo 

anterior, tendrá que ejecutar dos comandos distintos para crear y después 

configurar la conexión virtual. 

WebUI (Dispositivo-B) 


Instance > Virtual Link: Introduzca los siguientes datos y haga clic en Add: 

Area ID: 10 

Router ID: 10.10.1.250 

> Configure: En el campo Transmit Delay, escriba 10 y haga clic en OK.

CLI (Dispositivo-B) 



transit-delay 10 

save 

Crear una conexión virtual automática 


Puede hacer que un enrutador virtual (VR) cree automáticamente una conexión 

virtual para las instancias en las que no sea posible acceder al área troncal de la red. 

Si el enrutador virtual crea conexiones virtuales automáticamente se ahorrará el 

tiempo necesario para crear cada una de las conexiones virtuales de forma manual. 

En el siguiente ejemplo configuraremos la creación automática de conexiones 

virtuales. 

WebUI 


Instance: Seleccione Automatically Generate Virtual Links, luego haga clic en 

OK. 

CLI 

set vrouter trust-vr protocol ospf auto-vlink 

save 

Ajustar parámetros de interfaz OSPF 

En esta sección se describen los parámetros OSPF que se pueden configurar en el 

nivel de interfaz. Cuando se configura un parámetro OSPF en el nivel de interfaz, 

los datos de configuración afectan únicamente al funcionamiento OSPF de la 

interfaz especificada. Puede modificar los ajustes de los parámetros de la interfaz 

mediante comandos de interfaz en la CLI o utilizando la WebUI. 

La Tabla 9 detalla los parámetros opcionales de interfaz de OSPF y sus valores 

predeterminados. 

Tabla 9: Parámetros opcionales de interfaz de OSPF y sus valores predeterminados 

Parámetro de 

interfaz OSPF Descripción Valor predeterminado 

Authentication Especifica si la comunicación OSPF de la interfaz se 

verificará mediante autenticación por contraseña de 

texto no encriptado o por MD5 (Message Digest 5). 

La contraseña de texto no encriptado debe ser una 

cadena de hasta 8 dígitos, mientras que la 

contraseña para autenticación MD5 puede ser una 

cadena de hasta 16 dígitos. Para la contraseña MD5 

también es necesario que se configuren cadenas 

clave. 

Cost Especifica la métrica de la interfaz. El coste 

asociado a una interfaz depende del ancho de 

banda de la conexión que tenga establecida dicha 

interfaz. Cuanto mayor sea el ancho de banda, 

menor será el valor del coste (preferible). 

No se utiliza 

autenticación. 

1 para una conexión de 

100MB o más 

10 para una conexión de 

10MB 

100 para una conexión 

de 1MB 

Ajustar parámetros de interfaz OSPF 65


66 Ajustar parámetros de interfaz OSPF 

Parámetro de 

interfaz OSPF Descripción Valor predeterminado 

Dead interval Especifica el intervalo en segundos en que no se 

producirá respuesta desde un dispositivo OSPF 

vecino antes de que OSPF determine que no 

funciona. 

Hello interval Especifica el intervalo en segundos que transcurrirá 

entre el envío de un paquete de saludo a la red y 

el siguiente. 

Link type Especifica una interfaz de túnel como vínculo punto 

a punto o como vínculo punto a multipunto. 

Consulte “Interfaz de túnel punto a multipunto” en 

la página 72. 

Neighbor list Especifica subredes, en forma de lista de acceso, en 

las que residen vecinos OSPF que pueden utilizarse 

para formar adyacencias. 

Passive 

Interface 

Especifica que la dirección IP de la interfaz se 

notificará en el dominio OSPF como ruta OSPF y no 

como ruta externa, pero que la interfaz no 

transmitirá ni recibirá paquetes OSPF. Esta opción 

resulta útil cuando en la interfaz también se ha 

habilitado BGP. 

Priority Especifica la prioridad del enrutador virtual que se 

elegirá: enrutador designado o enrutador designado 

de respaldo. El enrutador con el valor de prioridad 

más alto tiene más posibilidades de ser elegido 

(aunque no se garantiza). 

Retransmit 

interval 

Especifica el tiempo en segundos que transcurrirá 

antes de que la interfaz reenvíe una LSA a un vecino 

que no respondió a la primera LSA. 

Transit delay Especifica el tiempo en segundos entre las 

transmisiones de paquetes de actualización de 

estado de conexión enviados a la interfaz. 

Demand circuit (Sólo interfaces de túnel) Configura una interfaz de 

túnel como circuito de demanda, según RFC 1793. 

Consulte “Crear un circuito de demanda OSPF en 

una interfaz de túnel” en la página 71. 

Reduce flood Especifica la reducción de inundaciones LSA en un 

circuito de demanda. 

Ignore MTU Especifica que cualquier incoherencia en los valores 

Maximum Transmission Unit (MTU) entre las 

interfaces locales y remotas que se encuentre 

durante las negociaciones de la base de datos OSPF 

será ignorada. Esta opción sólo debe utilizarse 

cuando el MTU de la interfaz local sea más lento 

que el MTU de la interfaz remota. 

40 segundos. 

10 segundos. 

Las interfaces Ethernet 

se tratan como interfaces 

de difusión. 

De forma 

predeterminada, las 

interfaces de túnel 

asociadas a las zonas 

OSPF son punto a punto. 

Ninguna (las adyacencias 

se forman con todos los 

vecinos de la interfaz). 

Las interfaces con OSPF 

habilitado transmiten y 

reciben paquetes OSPF. 

1. 

5 segundos. 

1 segundo. 

Desactivado. 

Desactivado. 

Desactivado. 

NOTA: Para formar adyacencias, todos los enrutadores OSPF de un área deben utilizar los 

mismos valores en el intervalo de saludo, el intervalo muerto y el intervalo de 

retransmisión.

Configuración de seguridad 

Autenticar vecinos 


En el siguiente ejemplo, configuramos los siguientes parámetros OSPF para la 

interfaz ethernet1: 

Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundos. 

Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos. 

Aumentar el intervalo entre las transmisiones de LSA a 2 segundos. 

WebUI 

Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los 

siguientes datos y haga clic en Apply: 

Hello Interval: 15 

Retransmit Interval: 7 

Transit Delay: 2 

CLI 

set interface ethernet1 protocol ospf hello-interval 15 

set interface ethernet1 protocol ospf retransmit-interval 7 

set interface ethernet1 protocol ospf transit-delay 2 

save 

En esta sección se describen posibles problemas de seguridad en el dominio de 

enrutamiento OSPF y ciertos métodos de prevención de ataques. 

NOTA: Para que OSPF sea más seguro, todos los enrutadores de un dominio OSPF 

deben configurarse con el mismo nivel de seguridad. De lo contrario, un solo 

enrutador OSPF peligroso podría llegar a dejar inservible todo el domino de 

enrutamiento OSPF. 

Un enrutador OSPF se puede suplantar fácilmente, ya que las LSA no se encriptan 

y la mayoría de los analizadores de protocolo permiten desencapsular paquetes 

OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques será 

autenticando los vecinos OSPF. 

OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos: 

por autenticación de contraseña simple y por autenticación MD5. Se descartarán 

todos los paquetes OSPF recibidos en la interfaz que no se autentiquen. De forma 

predeterminada, ninguna interfaz OSPF tiene la autenticación habilitada. 

Para la autenticación MD5 se necesita la misma clave utilizada para los enrutadores 

OSPF de envío y recepción. Puede especificar más de una clave MD5 en el 

dispositivo de seguridad, cada una de las cuales tendrá su propia clave. Si configura 

varias claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador 

para la clave que se utilizará para autenticar las comunicaciones con el enrutador 

vecino. De esta forma es posible cambiar periódicamente las claves MD5 por 

parejas de enrutadores minimizando el riesgo de que algún paquete se descarte. 

Configuración de seguridad 67


68 Configuración de seguridad 

Configurar una contraseña de texto no cifrado 

En este ejemplo, crearemos la contraseña de texto no encriptado 12345678 para 

OSPF en la interfaz ethernet1. 

WebUI 



CLI 

Password: (seleccione), 12345678 

set interface ethernet1 protocol ospf authentication password 12345678 

save 

Configurar una contraseña MD5 

En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 y 

seleccionará una de ellas para que sea la clave activa. Cada clave MD5 puede tener 

16 caracteres. El número identificador de clave debe estar entre 0 y 255. El 

identificador de clave predeterminado es 0, de manera que no tenga que 

especificar el identificador de clave para la primera clave MD5 que introduzca. 

WebUI 



Authentication: 

MD5 Keys: (seleccione) 

1234567890123456 

9876543210987654 

Key ID: 1 

Preferred: (seleccione) 

Configurar una lista de vecinos de OSPF 

CLI 

set interface ethernet1 protocol ospf authentication md5 1234567890123456 

set interface ethernet1 protocol ospf authentication md5 9876543210987654 

key-id 1 

set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1 

save 

Los entornos de acceso múltiple permiten que los dispositivos, incluyendo los 

enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto 

puede provocar problemas de estabilidad o rendimiento si el dispositivo conectado 

no es fiable. 

De forma predeterminada, la instancia de enrutamiento OSPF en el enrutador 

virtual (VR) ScreenOS forma adyacencias con todos los vecinos OSPF que se 

comunican en una interfaz con OSPF. Es posible limitar los dispositivos de una 

interfaz que pueden formar adyacencias con la instancia de enrutamiento de OSPF 

definiendo una lista de subredes que contengan vecinos OSPF que se puedan elegir.


Sólo los hosts o enrutadores que se encuentren en la subredes definidas podrán 

formar adyacencias con la instancia de enrutamiento de OSPF. Para especificar las 

subredes que contienen vecinos OSPF válidos, se debe definir una lista de acceso a 

las subredes en el nivel del enrutador virtual (VR). 

En este ejemplo configuraremos una lista de acceso que permitirá la comunicación 

con los hosts de la subred 10.10.10.130/27. A continuación especificaremos la lista 

de acceso para que configure vecinos OSPF válidos. 

WebUI 

Network > Routing > Virtual Router (trust-vr) > Access List > New: 


CLI 

Rechazar rutas predeterminadas 



IP/Netmask: 10.10.10.130/27 




Neighbor List: 4 

set vrouter trust-vr access-list 4 


set interface ethernet1 protocol ospf neighbor-list 4 

save 

En los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada 

(0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desvíen a él. El 

enrutador puede descartar los paquetes, causando una interrupción en el servicio, o 

puede entregar información crítica a los paquetes antes de reenviarlos. En los 

dispositivos de seguridad de Juniper Networks, OSPF acepta en principio cualquier 

ruta predeterminada reconocida en OSPF y agrega la ruta predeterminada a la tabla 

de rutas. 

En el siguiente ejemplo especificaremos que una ruta predeterminada no se 

reconozca en OSPF. 

WebUI 


Instance: Seleccione la casilla de verificación Do Not Add Default-route 

Learned in OSPF, luego haga clic en OK. 

CLI 

set vrouter trust-vr protocol ospf reject-default-route 

save 



Proteger contra inundaciones 


Un enrutador peligroso o que no funcione correctamente puede inundar a sus 

vecinos con paquetes de saludo OSPF o con LSAs. Cada enrutador capta la 

información de las LSAs enviadas por otros enrutadores en la red para recuperar la 

información de rutas para la tabla de enrutamiento. La protección contra 

inundaciones de LSA permite determinar el número de LSAs que entrarán en el 

enrutador virtual (VR). Si éste recibe demasiadas LSAs, el enrutador fallará por una 

inundación LSA. Los ataques por LSAs se producen cuando un enrutador genera 

un número excesivo de LSAs en un periodo corto de tiempo, puesto que hace que 

los demás enrutadores OSPF de la red se mantengan ocupados ejecutando el 

algoritmo SPF. 

En los enrutadores virtuales que utilizan ScreenOS, es posible configurar el número 

máximo de paquetes de saludo por intervalo de saludo y el número máximo de 

LSAs que recibirá una interfaz OSPF durante un intervalo determinado. Los 

paquetes que excedan el límite configurado se descartarán. De forma 

predeterminada, el límite de paquetes de saludo OSPF es de 10 paquetes por 

intervalo de saludo (el intervalo de saludo predeterminado para una interfaz OSPF 

es de 10 segundos). No hay ningún límite de LSAs predefinido; si no impone un 

límite de LSAs, se aceptarán todas. 

Configurar un límite de saludo 

En el siguiente ejemplo configuraremos un límite de 20 paquetes por intervalo de 

saludo. Este intervalo, que se puede configurar independientemente en cada 

interfaz OSPF, no variará; seguirá ajustado a 10 segundos. 

WebUI 


Instance: Introduzca los siguientes datos y haga clic en OK: 

Prevent Hello Packet Flooding Attack: On 

Max Hello Packet: 20 

CLI 

set vrouter trust-vr protocol ospf hello-threshold 20 

save 

Configurar un límite de LSAs 

En este ejemplo estableceremos un límite OSPF de 10 paquetes LSA cada 20 

segundos para evitar ataques por inundación de LSAs. 

WebUI 



LSA Packet Threshold Time: 20 

Maximum LSAs: 10 

CLI 

set vrouter trust-vr protocol ospf lsa-threshold 20 10 

save

Habilitar la inundación reducida 


Puede habilitar la característica de reducción de inundaciones para suprimir la 

inundación LSA en las interfaces de punto a punto, como interfaz serie, de túnel o 

línea asíncrona de abonado digital (ADSL), o interfaces de difusión, como las 

interfaces de Ethernet. En el ejemplo siguiente, habilitará la supresión periódica de 

LSA sin afectar al flujo de paquetes de saludo hacia la interfaz tunnel.1. 

WebUI 

Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes 

datos y haga clic en Apply: 

CLI 

Reduce Flooding: (seleccione) 

set interface tunnel.1 protocol ospf reduce-flooding 

save 

Crear un circuito de demanda OSPF en una interfaz de túnel 

Los circuitos de demanda de OSPF, según lo definido en RFC 1793, son segmentos 

de red en los que el tiempo de conexión o de utilización afecta al coste de utilizar 

tales conexiones. En un circuito de demanda, el tráfico generado por OSPF necesita 

ser limitado a los cambios en la topología de la red. En los dispositivos de seguridad 

de Juniper Networks, únicamente las interfaces de punto a punto, como las 

interfaces de serie, de túnel o de línea asíncrona de abonado digital (ADSL), pueden 

ser circuitos de demanda y para que funcionen adecuadamente, ambos extremos 

del túnel se deben configurar manualmente comoos circuitos de demanda. 

En interfaces de túnel configuradas como circuitos de demanda, el dispositivo de 

seguridad suprime el envío de paquetes de saludo OSPF y la actualización periódica 

de inundaciones LSA para disminuir la sobrecarga. Cuando el vecino OSPF alcanza 

el estado completo “Full” (los saludos “Hello” coinciden y los LSAs del enrutador y 

de la red reflejan a todos los vecinos adyacentes), el dispositivo de seguridad 

suprime los paquetes de saludo periódicos y LSA se actualiza. El dispositivo de 

seguridad inunda solamente LSAs cuyo contenido haya cambiado. 

En el ejemplo siguiente, configurará la interfaz tunnel.1 como un circuito de 

demanda. 

NOTA: Deberá configurar la interfaz de túnel del interlocutor remoto como un circuito de 

demanda. Sin embargo, no necesita configurar la inundación LSA reducida en el 

interlocutor remoto. 

WebUI 

Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos y haga 

clic en Apply: 

CLI 

Demand Circuit: (seleccione) 

set interface tunnel.1 protocol ospf demand-circuit 

save 

Crear un circuito de demanda OSPF en una interfaz de túnel 71


Interfaz de túnel punto a multipunto 

72 Interfaz de túnel punto a multipunto 

Al asociar una interfaz de túnel a una zona OSPF en un dispositivo de seguridad, de 

forma predeterminada se crea un túnel OSPF punto a punto. La interfaz de túnel 

punto a punto puede formar una adyacencia con solamente un enrutador OSPF en 

el extremo remoto. Si la interfaz de túnel local va a ser asociada a múltiples túneles, 

debe configurar la interfaz de túnel local como interfaz punto a multipunto e 

inhabilitar la característica route-deny en la interfaz de túnel. 

NOTA: Debe configurar una interfaz de túnel como interfaz punto a multipunto antes de 

habilitar OSPF en la interfaz. Una vez configurada la interfaz como interfaz punto 

a multipunto, ya no podrá configurarla como circuito de demanda (consulte 

“Crear un circuito de demanda OSPF en una interfaz de túnel” en la página 71). 

Sin embargo, puede configurar la interfaz para la inundación LSA reducida. 

Establecer el tipo de conexión OSPF 

Inhabilitar la restricción Route-Deny 

Para ver un ejemplo de asociación de múltiples túneles a una interfaz de túnel, 

consulte “Asociar entradas automáticas en la tabla de rutas y en la tabla NHTB” en 

la página 5-278. Las siguientes secciones incluyen ejemplos para: 

Establecer el tipo de conexión (consulte “Establecer el tipo de conexión OSPF” 

en esta página) 

Establecer la característica route-deny (consulte “Inhabilitar la restricción 

Route-Deny” en esta página) 

Configurar una red con una interfaz de túnel de punto a multipunto (consulte 

“Crear una red punto a multipunto” en la página 73) 

Si se propone formar adyacencias OSPF en múltiples túneles, necesitará establecer 

el tipo de conexión como punto a multipunto (p2mp). 

En el siguiente ejemplo establecerá el tipo de conexión de tunnel.1 en punto a 

multipunto (p2mp) para cumplir con los requisitos de su red. 

WebUI 

Network > Interface > Edit > OSPF: Seleccione “Point-to-Multipoint” en la 

lista de botones de opción “Link Type”. 

CLI 

set interface tunnel.1 protocol ospf link-type p2mp 

save 

De forma predeterminada, potencialmente el dispositivo de seguridad puede enviar 

y recibir paquetes a través de la misma interfaz a menos que esté configurado 

explícitamente para no enviarlos ni recibirlos en la misma interfaz. En un entorno 

punto a multipunto, este comportamiento puede ser deseable. Para configurar el 

dispositivo de seguridad para enviar y recibir en la misma interfaz, debe inhabilitar 

la restricción route-deny. En este ejemplo inhabilitará la restricción route-deny 

mediante CLI en la interfaz de túnel punto a multipunto tunnel.1.

WebUI 

NOTA: Para establecer la restricción route-deny debe utilizarse la CLI. 

CLI 

Crear una red punto a multipunto 

unset interface tunnel.1 route-deny 

save 


La Figura 14 muestra una empresa de tamaño mediano con su oficina central (CO) 

en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York. 

Cada oficina tiene un solo dispositivo de seguridad. 

Los siguientes son los requisitos de configuración específicos del dispositivo de 

seguridad en la CO: 

1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a 

continuación, configurar la interfaz tunnel.1. 

2. Configurar las cuatro VPNs y asociarlas a la interfaz tunnel.1. 

Los siguientes son los requisitos de configuración propios de los dispositivos de 

seguridad remotos: 

1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a 


2. Configurar la VPN y asociarla a la interfaz tunnel.1. 

Los valores de temporizadores para todos los dispositivos deben coincidir para 

que las adyacencias puedan formarse. La Figura 14 muestra el escenario descrito 

de la red. 

Interfaz de túnel punto a multipunto 73


Figura 14: Ejemplo de red punto a multipunto 

Nueva York 

tunnel.1 10.0.0.2 

untrust 2.2.2.2 


En la Figura 14, se originan cuatro VPNs en el dispositivo de seguridad de San 

Francisco e irradian hacia las oficinas remotas en Nueva York, Los Angeles, 

Montreal y Chicago. 

En este ejemplo, configurará los siguientes ajustes en el dispositivo de seguridad de 

la oficina central CO: 

1. Interfaces y zona de seguridad 

2. VPN 

3. Rutas y OSPF 

Para completar la configuración de la red, configurará los siguientes ajustes en cada 

uno de los cuatro dispositivos de seguridad de las oficinas remotas: 

1. Interfaz y OSPF 

2. VPN 

Los Angeles Montreal 

tunnel.1 10.0.0.3 


VPN 1 

San Francisco (CO) 

ethernet3 1.1.1.1 

tunnel.1 10.0.0.1 

4 VPNs asociadas a 

tunnel.1 

3. Directivas 

VPN 2 

Internet 

VPN 3 

tunnel.1 10.0.0.4 


VPN 4 

Chicago 

tunnel.1 10.0.0.5 

untrust 5.5.5.5

WebUI (dispositivo de la oficina central) 


NOTA: Los procedimientos de WebUI aparecen abreviados debido a que el ejemplo es 

muy largo. La porción CLI del ejemplo está completa. Puede consultar en la 

porción CLI los ajustes y valores exactos que deben utilizarse. 


Network > Interfaces > Haga clic en New Tunnel IF y continúe a la página de 

configuración. 

Network > Interfaces > Edit (para ethernet3) y configure la zona y la dirección 

IP. 

Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione 

“Point-to-Multipoint” en la lista de botones de opción “Link Type”. 

2. VPN 

VPNs > AutoKey Advanced > Gateway 


Network > Routing > Virtual Routers > Haga clic en Edit para el enrutador 

virtual y configure los parámetros de OSPF. 

CLI (dispositivo de la oficina central) 


set interface ethernet3 zone untrust 

set interface ethernet3 ip 1.1.1.1/24 

set interface tunnel.1 zone untrust 

set interface tunnel.1 ip 10.10.10.1/24 

2. VPN 

set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshare 

ospfp2mp proposal pre-g2-3des-sha 







set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha 

set vpn vpn1 monitor rekey 

set vpn1 id 1 bind interface tunnel.1 














set vrouter trust router-id 10 

set vrouter trust protocol ospf 

set vrouter trust protocol ospf enable 

set interface tunnel.1 protocol ospf area 0 

set interface tunnel.1 protocol ospf enable 

set interface tunnel.1 protocol ospf link-type p2mp 

unset interface tunnel.1 route-deny 

save 

NOTA: De forma predeterminada, route-deny está inhabilitado. Sin embargo, si 

habilitó la característica route-deny en algún momento, necesitará inhabilitar 

la característica para que la interfaz de túnel punto a multipunto funcione 

correctamente. 

Puede seguir estos pasos para configurar el dispositivo de seguridad de la oficina 

remota. Los dispositivos de seguridad de Juniper Networks aprenden sobre sus 

vecinos a través de LSAs. 

Para completar la configuración mostrada en la Figura 14 en la página 74, debe 

repetir la sección siguiente por cada dispositivo remoto y cambiar las direcciones IP, 

los nombres de puerta de enlace y los nombres de VPN, así como establecer 

directivas para cumplir las necesidades de la red. En cada sitio remoto, las zonas 

trust y untrust cambian. 




WebUI (dispositivo de oficina remota) 


Network > Interfaces > Haga clic en New Tunnel IF y continúe con la página 

de configuración. 

2. VPN 


3. Directivas 

Policies (from All zones to All zones) > Haga clic en New 

CLI (dispositivo de oficina remota) 


set vrouter trust protocol ospf 

set vrouter trust protocol ospf enable 

set interface untrust ip 2.2.2.2/24 



set interface tunnel.1 protocol ospf area 0 

set interface tunnel.1 protocol ospf enable


2. VPN 

set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare 




set vpn vpn1 id 1 bind interface tunnel.1 

3. Directiva (configure como sea necesario) 

set policy id 1 from trust to untrust any any any permit 

set policy id 2 from untrust to trust any any any permit 

save 

Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol 

ospf config. 



78 Interfaz de túnel punto a multipunto

Capítulo 4 

Protocolo de información de 

enrutamiento 

En este capítulo se describe la versión 2 del Protocolo de información de 

enrutamiento (RIP) en los dispositivos de seguridad de Juniper Networks. Contiene 

las siguientes secciones: 


“Configuración básica de RIP” en la página 81 

“Crear y eliminar una instancia RIP” en la página 82 

“Habilitar y deshabilitar RIP en interfaces” en la página 83 


“Visualizar la información de RIP” en la página 85 

“Visualizar la base de datos RIP” en la página 85 

“Visualizar los detalles de RIP” en la página 86 

“Visualizar información de vecino RIP” en la página 87 

“Visualizar detalles de RIP para una interfaz específica” en la página 88 

“Parámetros globales de RIP” en la página 89 

“Notificar la ruta predeterminada” en la página 90 

“Configurar los parámetros de interfaz de RIP” en la página 91 


“Autenticar vecinos mediante una contraseña” en la página 92 

“Configurar vecinos fiables” en la página 93 


“Proteger contra inundaciones” en la página 95 

79


Vista general 


“Configuraciones opcionales de RIP” en la página 97 

“Configurar la versión de RIP” en la página 97 

“Habilitar y deshabilitar un resumen de prefijo” en la página 99 

“Ajustar rutas alternas” en la página 100 

“Circuitos de demanda en interfaces de túnel” en la página 101 

“Configurar un vecino estático” en la página 103 

“Configurar una interfaz de túnel punto a multipunto” en la página 103 

El protocolo RIP (Routing information protocol) es un protocolo de vector distancia 

que se utiliza como protocolo de puerta de enlace interior (IGP) en sistemas 

autónomos (AS) de tamaño moderado. ScreenOS admite la versión 2 de RIP (RIPv2) 

tal como se define en la norma RFC 2453. Mientras que RIPv2 sólo admite la 

autenticación de contraseña simple (texto sin formato), la implementación RIP de 

ScreenOS también admite extensiones de autenticación MD5, tal como se definen 

en la norma RFC 2082. 

NOTA: RIP no se admite en interfaces de túnel sin numerar. Se deben numerar todas las 

interfaces que utilizan protocolo RIP. Cualquier intento por configurar y ejecutar 

una interfaz sin numerar utilizando RIP puede provocar un error impredecible en 

el enrutamiento. 

RIP administra la información de rutas en redes pequeñas y homogéneas, como las 

LAN corporativas. La ruta más larga admitida en una red RIP es de 15 saltos. Un 

valor métrico de 16 indica un destino no válido o inaccesible (este valor también se 

denomina “infinito” ya que excede el máximo de 15 saltos permitidos para las 

redes RIP). 

El protocolo RIP no está diseñado para grandes redes o para redes en las que las 

rutas se eligen en función de parámetros en tiempo real, como carga, fiabilidad o 

retardo medido. RIP admite redes punto a punto (utilizadas con VPNs) y redes 

Ethernet de difusión/multidifusión (broadcast/multicast). RIP admite las conexiones 

de "punto a multipunto" a través de las interfaces de túnel con o sin tener 

configurado un circuito de demanda. Para obtener más información sobre circuitos 

de demanda, consulte “Circuitos de demanda en interfaces de túnel” en la 

página 101. 

RIP envía mensajes que contienen la tabla de enrutamiento completa a todos los 

enrutadores vecinos cada 30 segundos. Estos mensajes se envían normalmente 

como multidifusiones a la dirección 224.0.0.9 del puerto RIP. 

La base de datos de enrutamiento RIP contiene una entrada para cada destino que 

sea accesible a través de la instancia de enrutamiento RIP. La base de datos de 

enrutamiento RIP incluye la siguiente información:

Configuración básica de RIP 

Capítulo 4: Protocolo de información de enrutamiento 

Dirección IPv4 de un destino. Recuerde que RIP no distingue entre redes y 

hosts. 

Dirección IP del primer enrutador de la ruta hacia el destino (el siguiente salto). 

Interfaz de red utilizada para acceder al primer enrutador. 

Valor métrico que indica la distancia (o coste) para alcanzar el destino. La 

mayoría de implementaciones RIP utilizan un valor métrico de 1 para cada red. 

Un temporizador que indica el tiempo que ha transcurrido desde la última 

actualización de la entrada de la base de datos. 

Creará RIP por cada enrutador virtual en un dispositivo de seguridad. Si dispone de 

varios enrutadores virtuales (VR) dentro de un sistema, podrá habilitar múltiples 

instancias de RIP, una instancia de la versión 1 o de la 2 por cada enrutador virtual. 

De forma predeterminada, los dispositivos de seguridad de Juniper Networks 

admiten la versión 2 de RIP. 



Capítulo 2, “Enrutamiento”. 

En esta sección se describen los pasos básicos para configurar el protocolo RIP en 

un dispositivo de seguridad: 

1. Crear la instancia de enrutamiento RIP en un enrutador virtual. 

2. Habilitar la instancia RIP. 

3. Habilitar RIP en las interfaces que conectan con otros enrutadores RIP. 

4. Redistribuir las rutas reconocidas de otros protocolos de enrutamiento (como 

OSPF, BGP, o rutas configuradas de forma estática) en la instancia RIP. 

En esta sección se describe la correcta ejecución de cada una de estas tareas 

utilizando la interfaz WebUI y la línea de comandos CLI. 

Opcionalmente, es posible configurar parámetros de RIP, como: 

Parámetros globales, como temporizadores y vecinos RIP fiables, que se 

configuran en el VR para el protocolo RIP (consulte “Parámetros globales de 

RIP” en la página 89) 

Parámetros de interfaz, como la autenticación de dispositivos vecinos, que se 

configuran en la interfaz para el protocolo RIP (consulte “Configurar los 

parámetros de interfaz de RIP” en la página 91) 

Parámetros RIP relacionados con la seguridad, que se configuran en el 

enrutador virtual o en la interfaz (consulte “Configuración de seguridad” en la 

página 92) 

Configuración básica de RIP 81


Crear y eliminar una instancia RIP 

82 Configuración básica de RIP 

Cada instancia de enrutamiento de RIP se crea y se habilita en un enrutador virtual 

(VR) específico ubicado en un dispositivo de seguridad. Cuando se crea y se habilita 

una instancia de enrutamiento de RIP en un enrutador virtual, RIP transmite y 

recibe paquetes en todas las interfaces habilitadas para RIP de dicho enrutador. 

Cuando se elimina una instancia de enrutamiento de RIP en un enrutador virtual, se 

eliminan las configuraciones RIP correspondientes para todas las interfaces de 

dicho enrutador. 

(Para obtener más información sobre VR y su configuración en dispositivos de 

seguridad, consulte “Enrutamiento” en la página 13). 

Crear una instancia RIP 

Cree una instancia de enrutamiento RIP en el trust-vr y a continuación habilite el 

RIP. 

WebUI 

Network > Routing > Virtual Router (trust-vr) > Edit: Escriba una 

identificación de enrutador virtual y luego seleccione Create RIP Instance. 

CLI 

Seleccione Enable RIP y haga clic en OK. 



2. Instancia de enrutamiento de RIP 

set vrouter trust-vr protocol rip 

set vrouter trust-vr protocol rip enable 

save 

NOTA: En CLI, el proceso de crear una instancia de enrutamiento RIP se realiza en dos 

etapas. Cree la instancia RIP y, a continuación, habilite RIP. 

Eliminar una instancia RIP 

En este ejemplo, inhabilitará la instancia de enrutamiento de RIP en trust-vr. RIP 

dejará de transmitir y procesar paquetes en todas las interfaces habilitadas para RIP 

en trust-vr. 

WebUI 

Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance: 

Anule la selección de Enable RIP y haga clic en OK. 

Network > Routing > Virtual Router (trust-vr) > Edit > Delete RIP Instance y 

luego haga clic en OK en el mensaje de confirmación. 

CLI 

unset vrouter trust-vr protocol rip enable 

unset vrouter trust-vr protocol rip 

save

Habilitar y deshabilitar RIP en interfaces 

Redistribuir rutas 


De forma predeterminada, RIP está inhabilitado en todas las interfaces del 

enrutador virtual (VR) y es necesario habilitarlo de forma explícita en una interfaz. 

Si se inhabilita RIP a nivel de interfaz, RIP no transmitirá ni recibirá paquetes en la 

interfaz especificada. Los parámetros de configuración de interfaz se conservan 

cuando se inhabilita RIP en una interfaz. 

NOTA: Si se desactiva la instancia de enrutamiento de RIP en el enrutador virtual 

(consulte “Eliminar una instancia RIP” en la página 82), RIP dejará de transmitir y 

procesar paquetes en todas las interfaces del enrutador que tengan este protocolo 

habilitado. 

Habilitar RIP en una interfaz 

En este ejemplo, habilitará RIP en la interfaz Trust. 

WebUI 

Network > Interface > Edit (para Trust) > RIP: Seleccione Protocol RIP 

Enable, luego haga clic en Apply. 

CLI 

set interface trust protocol rip enable 

save 

Inhabilitación de RIP en una interfaz 

En este ejemplo, inhabilitará RIP en la interfaz Trust. Para eliminar completamente 

la configuración de RIP introduzca el segundo comando CLI antes de guardar. 

WebUI 

Network > Interface (para Trust) > RIP: Elimine el Protocol RIP Enable, luego 

haga clic en Apply. 

CLI 

unset interface trust protocol rip enable 

unset interface trust protocol rip 

save 


protocolos de enrutamiento. Por ejemplo, los siguientes tipos de rutas se pueden 

redistribuir en la instancia de enrutamiento de RIP de un mismo enrutador virtual 

(VR): 

Rutas reconocidas por el protocolo BGP 

Rutas reconocidas por el protocolo OSPF 




Configuración básica de RIP 83


84 Configuración básica de RIP 

Es necesario configurar un mapa de rutas para filtrar las rutas distribuidas. Para 

obtener más información sobre la creación de mapas de rutas para la 

redistribución, consulte Capítulo 2, “Enrutamiento”. 

Las rutas importadas en RIP a partir de otros protocolos tienen un valor métrico 

predeterminado de 10. Este valor se puede modificar (consulte “Parámetros 

globales de RIP” en la página 89). 

En este ejemplo, redistribuirá rutas estáticas que se encuentran en la subred 

20.1.0.0/16 entre dispositivos vecinos RIP ubicados en el enrutador virtual trust-vr. 

Para ello, primero deberá crear una lista de acceso para permitir direcciones en la 

subred 20.1.0.0/16. A continuación, configure un mapa de rutas que permita las 

direcciones incluidas en la lista de acceso que acaba de generar. Utilice el mapa de 

rutas para especificar la redistribución de rutas estáticas en la instancia de 

enrutamiento de RIP. 

WebUI 





IP/Netmask: 20.1.0.0/16 


Network > Routing > Virtual Router (trust-vr) > Route Map > New: 






Access List: (seleccione), 20 (seleccione) 

Network > Routing > Virtual Router (trust-vr) > Edit > Edit RIP Instance > 

Redistributable Rules: Introduzca los siguientes datos y haga clic en Add: 

Route Map: rtmap1 (seleccione) 

Protocol: Static (seleccione) 

CLI 


set vrouter trust-vr route-map name rtmap1 permit 1 

set vrouter trust-vr route-map rtmap1 1 match ip 20 

set vrouter trust-vr protocol rip redistribute route-map rtmap1 protocol static 

save

Visualizar la información de RIP 


Después de modificar los parámetros RIP, puede visualizar los siguientes tipos de 

detalles de RIP: 

Base de datos, que muestra la información de enrutamiento 

Protocolo, que proporciona los detalles de interfaz y de RIP de un enrutador 

virtual (VR) 

Vecino 

Visualizar la base de datos RIP 

Puede verificar la información de enrutamiento de RIP desde la CLI. Puede elegir 

visualizar una lista completa de todas las entradas de la base de datos RIP o de una 

sola entrada. 

En este ejemplo, visualiza la información detallada desde la base de datos RIP. 

Puede visualizar todas las entradas de la base de datos o limitar el resultado a una 

sola entrada de la base de datos añadiendo la dirección IP y la máscara del VR que 

desee. 

En este ejemplo, especifica trust-vr y añade el prefijo y la dirección IP 10.10.10.0/24 

para visualizar una sola entrada de la tabla. 

WebUI 

NOTA: Debe utilizar la CLI para visualizar la base de datos RIP. 

CLI 

get vrouter trust-vr protocol rip database prefix 10.10.10.0/24 

save 

Después de introducir el siguiente comando CLI, puede visualizar la entrada de la 

base de datos RIP: 

ns-> get vrouter trust-vr protocol rip database 10.10.10.0/24 

VR: trust-vr 

------------------------------------------------------------------------- 

Total database entry: 3 

Flags: Added in Multipath - M, RIP - R, Redistributed - I, 

Default (advertised) - D, Permanent - P, Summary - S, 

Unreachable - U, Hold - H 

DBID Prefix Nexthop Ifp Cost Flags Source 

7 10.10.10.0/24 20.20.20.1 eth1 2 MR 20.20.20.1 

------------------------------------------------------------------------- 

La base de datos RIP contiene los campos siguientes: 

DBID, el identificador de base de datos de la entrada 

Prefix, el prefijo y la dirección IP 

Nexthop, la dirección del salto siguiente (enrutador) 

Visualizar la información de RIP 85


Visualizar los detalles de RIP 

86 Visualizar la información de RIP 

Ifp, el tipo de conexión (Ethernet o túnel) 

La métrica de coste asignada para indicar la distancia desde el origen 

Flags, pueden ser uno o varios de lo siguiente: multipath (M), RIP (R), Redistributed 

(I), Advertised default (D), Permanent (P), Summary (S), Unreachable (U) o Hold (H). 

En este ejemplo, el identificador de base de datos es 7, la dirección IP y el prefijo es 

10.10.10.0/24 y el salto siguiente es 20.20.20.1. Es una conexión Ethernet con un 

coste de 2. Los flags son M y R e indican que esta ruta es multidireccional y usa RIP. 

Puede visualizar los detalles de RIP para verificar que la configuración de RIP 

coincida con sus necesidades de red. Puede limitar el resultado solamente a la tabla 

de resumen de la interfaz añadiendo interface al comando CLI. 

Puede visualizar la información de RIP completa para comprobar una configuración 

o verificar que los cambios guardados estén activos. 

WebUI 

NOTA: Debe utilizar la CLI para visualizar los detalles de RIP. 

CLI 

get vrouter trust-vr protocol rip 

Este comando produce resultados similares al siguiente resultado: 

ns-> get vrouter trust-vr protocol rip 

VR: trust-vr 

---------------------------------------------------------------------------- 

State: enabled 

Version: 2 

Default metric for routes redistributed into RIP: 10 

Maximum neighbors per interface: 16 

Not validating neighbor in same subnet: disabled 

RIP update transmission not scheduled 

Maximum number of Alternate routes per prefix: 2 

Advertising default route: disabled 

Default routes learnt by RIP will not be accepted 

Incoming routes filter and offset-metric: not configured 

Outgoing routes filter and offset-metric: not configured 

Update packet threshold is not configured 

Total number of RIP interfaces created on vr(trust-vr): 1 

Update| Invalid| Flush| DC Retransmit| DC Poll| Hold Down (Timers in seconds) 

---------------------------------------------------------------------------- 

30| 180| 120| 5| 40|90 

Flags: Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I 

Demand Circuit - D 

Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx 

----------------------------------------------------------------------------tun.1 

122.1.2.114/8 enabled disabled SD 1 1 v1v2/v1v 

Puede visualizar los valores de RIP, los detalles del paquete, la información del 

temporizador RIP y una tabla de interfaz resumida.

Visualizar información de vecino RIP 


Puede visualizar los detalles sobre los vecinos RIP de un enrutador virtual (VR). 

Puede recuperar una lista de información de todos los vecinos o una entrada de un 

vecino específico añadiendo la dirección IP del vecino que desee. Puede comprobar 

el estado de una ruta y verificar la conexión entre el vecino y el dispositivo de 

seguridad desde estas estadísticas. 

En el ejemplo siguiente, visualice la información de vecino RIP para el trust-vr. 

WebUI 

NOTA: Debe utilizar la CLI para visualizar la información de vecino RIP. 

CLI 

get vrouter trust-vr protocol rip neighbors 


ns-> get vrouter trust-vr protocol rip neighbors 

VR: trust-vr 

-------------------------------------------------------------------------------- 

Flags: Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P, 

Demand Circuit Init - I 

Neighbors on interface tunnel.1 

-------------------------------------------------------------------------------- 

IpAddress Version Age Expires BadPackets BadRoutes Flags 

-------------------------------------------------------------------------------- 

10.10.10.1 v2 - - 0 0 TSD 

Además de visualizar la dirección IP y la versión de RIP, puede visualizar la 

información siguiente del vecino RIP: 

Antigüedad de la entrada 

Tiempo de vencimiento 

Número de paquetes incorrectos 

Número de rutas incorrectas 

Flags: static (S), demand circuit (T), NHTB (N), down (D), up (U), poll (P) o 

demand circuit init (I) 

Visualizar la información de RIP 87


Visualizar detalles de RIP para una interfaz específica 

88 Visualizar la información de RIP 

Puede visualizar toda la información pertinente de RIP de todas las interfaces y un 

resumen de los detalles del enrutador vecino. Opcionalmente, puede añadir la 

dirección IP de un vecino específico para limitar el resultado. 

En el ejemplo siguiente, puede visualizar la información sobre la interfaz tunnel.1 

del vecino que reside en la dirección IP 10.10.10.2. 

WebUI 

NOTA: Debe utilizar la CLI para visualizar los detalles de la interfaz RIP. 

CLI 

get interface tunnel.1 protocol rip neighbor 10.10.10.2 


ns-> get interface tunnel.1 protocol rip 

VR: trust-vr 

---------------------------------------------------------------------------- 

Interface: tunnel.1, IP: 10.10.10.2/8, RIP: enabled, Router: enabled 

Receive version v1v2, Send Version v1v2 

State: Down, Passive: No 

Metric: 1, Split Horizon: enabled, Poison Reverse: disabled 

Demand Circuit: configured 



Authentication: none 

Current neighbor count: 1 

Update not scheduled 

Transmit Updates: 0 (0 triggered), Receive Updates: 0 

Update packets dropped because flooding: 0 

Bad packets: 0, Bad routes: 0 

Flags: Static - S, Demand Circuit - T, NHTB - N, Down - D, Up - U, Poll - P 

Neighbors on interface tunnel.1 

---------------------------------------------------------------------------- 

IpAddress Version Age Expires BadPackets BadRoutes Flags 

---------------------------------------------------------------------------- 

10.10.10.1 - - - 0 0 TSD 

f 

Desde este resumen de información puede visualizar el número de paquetes 

incorrectos o de rutas incorrectas presentes, verificar cualquier sobrecarga que RIP 

añada a la conexión y ver la configuración de la autenticación.

Parámetros globales de RIP 


En esta sección se describen los parámetros globales de RIP que se pueden 

configurar en un enrutador virtual (VR). Cuando se configura un parámetro RIP a 

nivel de enrutador virtual, los datos de configuración afectarán a las operaciones de 

todas las interfaces que tengan habilitado el protocolo RIP. Es posible modificar los 

valores de los parámetros globales del protocolo de enrutamiento RIP por medio de 

las interfaces CLI y WebUI. 

La Tabla 10 detalla los parámetros globales de RIP y sus valores predeterminados. 

Tabla 10: Parámetros globales de RIP y sus valores predeterminados 

Parámetro 

global de RIP Descripción 

Default metric Valor métrico predeterminado para rutas importadas 

en RIP a partir de otros protocolos, como OSPF y BGP. 

Update timer Indica (en segundos) cuándo enviar actualizaciones de 

rutas RIP a los dispositivos vecinos. 

Maximum 

packets per 

update 

Indica el número máximo de paquetes recibidos por 

actualización. 

Invalid timer Indica el tiempo (en segundos) que tiene que 

transcurrir para que una ruta deje de ser válida desde el 

momento en el que un vecino deja de notificar la ruta. 

Flush timer Indica el tiempo (en segundos) que tiene que 

transcurrir para que se elimine una ruta desde el 

momento de su invalidación. 

Maximum 

neighbors 

Trusted 

neighbors 

Allow neighbors 

on different 

subnet 

Advertise default 

route 

Reject default 

routes 

Incoming route 

map 

Outgoing route 

map 

Maximum 

alternate routes 

Valor(es) 

predeterminado(s) 

10 

30 segundos 

Sin máximo 

180 segundos 

120 segundos 

Indica el número máximo de vecinos RIP permitidos. Depende de la 

plataforma 

Indica una lista de acceso en la que se definen los 

vecinos RIP. Si no se especifica ningún vecino, RIP 

utiliza la difusión o la multidifusión para detectar 

vecinos en una interfaz. Consulte “Configurar vecinos 

fiables” en la página 93. 

Todos los vecinos 

son fiables 

Indica que se admiten vecinos RIP de otras subredes. Desactivado 

Indica si se notifica la ruta predeterminada (0.0.0.0/0). Desactivado 

Indica si RIP debe rechazar una ruta predeterminada 

reconocida de otro protocolo. Consulte “Rechazar rutas 

predeterminadas” en la página 94. 

Desactivado 

Indica el filtro para las rutas que RIP debe reconocer. Ninguna 

Indica el filtro para las rutas que RIP debe notificar. Ninguna 

Especifica el número máximo de rutas RIP para el 

mismo prefijo que se puede añadir a la base de datos 

de la ruta RIP. Consulte “Ajustar rutas alternas” en la 

página 100. 

0 

Parámetros globales de RIP 89


Notificar la ruta predeterminada 

90 Notificar la ruta predeterminada 

Parámetro 

global de RIP Descripción 

Summarize 

advertised routes 

RIP protocol 

version 

Especifica la notificación de una ruta de resumen que 

corresponde a todas las rutas incluidas dentro de un 

rango de resumen. Consulte “Habilitar y deshabilitar un 

resumen de prefijo” en la página 99. 

Especifica la versión de RIP que utiliza el VR. Puede 

ignorar la versión interfaz a interfaz. Consulte 

“Configurar la versión de RIP” en la página 97. 

Hold-timer Evita el “flapping” (rechazo) de una ruta a la tabla de 

rutas. Puede especificar un valor entre los valores 

mínimo (tres veces el valor del temporizador de 

actualización (update)) y máximo (suma del 

temporizador de actualización (update) y el de 

retención (hold), sin exceder el valor del temporizador 

flush). 

Retransmit timer Especifica el intervalo de retransmisión de las 

respuestas desencadenadas en un circuito de demanda. 

Puede establecer el temporizador de retransmisión y 

asignar una cuenta de reintentos que se ajuste a sus 

necesidades de red. 

Poll-timer Comprueba el vecino remoto del circuito de demanda 

para ver si está activa la conexión con ese vecino. 

Puede configurar el temporizador de retransmisión en 

minutos y asignar una cuenta de reintentos que se 

ajuste a sus necesidades de red. Una cuenta de 

reintentos de cero (0) supone un sondeo interminable. 

Puede cambiar la configuración de RIP incluyendo la notificación de la ruta 

predeterminada (una ruta que no es RIP) y modificando la métrica asociada con la 

ruta predeterminada presente en una tabla de enrutamiento de VP determinada. 

De forma predeterminada, la ruta predeterminada (0.0.0.0/0) no se notifica a los 

vecinos RIP. El siguiente comando notifica la ruta predeterminada a los vecinos RIP 

en el enrutador virtual trust-vr con un valor métrico de 5 (hay que introducir un 

valor métrico). La ruta predeterminada debe existir en la tabla de enrutamiento. 

WebUI 



Advertising Default Route: (seleccione) 

Metric: 5 

CLI 

set vrouter trust-vr protocol rip adv-default-route metric number 5 

save 

Valor(es) 

predeterminado(s) 

Ninguna 

Versión 2 

90 segundos 

5 segundos 

10 reintentos 

180 segundos 

0 reintentos 

NOTA: Consulte el manual ScreenOS CLI Reference Guide para obtener más información 

sobre los parámetros globales que se pueden configurar en el contexto del 

protocolo de enrutamiento RIP.

Configurar los parámetros de interfaz de RIP 


En esta sección se describen los parámetros RIP que se pueden configurar en el 

nivel de interfaz. Cuando se configura un parámetro RIP en el nivel de interfaz, los 

datos de configuración afectan únicamente al funcionamiento RIP de la interfaz 

especificada. Puede modificar los ajustes de los parámetros de la interfaz mediante 

comandos de interfaz en la CLI o utilizando la WebUI. 

La Tabla 11 detalla los parámetros de interfaz de RIP y sus valores predeterminados. 

Tabla 11: Parámetros de interfaz de RIP y sus valores predeterminados 

Parámetro RIP de interfaz Descripción 

Split-horizon Indica si está habilitada la opción de 

horizonte dividido (no notificar rutas 

reconocidas de una interfaz en 

actualizaciones enviadas a dicha interfaz, 

“split horizon”). Si está habilitada la opción 

de horizonte dividido con rutas 

inalcanzables (“poison reverse”), las rutas 

reconocidas de una interfaz se notifican 

con un valor métrico de 16 en las 

actualizaciones enviadas a dicha interfaz. 

RIP metric Especifica la métrica RIP de la interfaz. 1 

Autenticación Especifica la autenticación por contraseña 

de texto no encriptado o la autenticación 

MD5. Consulte “Autenticar vecinos 

mediante una contraseña” en la página 92. 

Passive mode Indica que la interfaz puede recibir, pero no 

transmitir paquetes RIP. 

Incoming route map Indica el filtro para las rutas que RIP debe 

reconocer. 

Outgoing route map Indica el filtro para las rutas que RIP debe 

notificar. 

RIP version for sending or 

receiving updates 

Especifica la versión de protocolo RIP 

utilizada para enviar o recibir 

actualizaciones en la interfaz. La versión de 

la interfaz utilizada para enviar 

actualizaciones no necesita ser la misma 

que la versión para recibir las 

actualizaciones. Consulte “Configurar la 

versión de RIP” en la página 97. 

Route Summarization Especifica si los resúmenes de rutas están 

habilitados en la interfaz. Consulte 

“Habilitar y deshabilitar un resumen de 

prefijo” en la página 99. 

Demand-circuit Especifica el circuito de demanda en una 

interfaz de túnel especificada. El dispositivo 

de seguridad envía mensajes de 

actualización solamente cuando se 

producen cambios. Consulte “Circuitos de 

demanda en interfaces de túnel” en la 

página 101. 

Static neighbor IP Especifica la dirección IP de un vecino RIP 

asignado manualmente. 

Valor 


La opción de 

horizonte dividido 

está habilitada. Las 

rutas inalcanzables 

están inhabilitadas. 

No se utiliza 

autenticación. 

No 

Ninguna. 

Ninguna. 

Versión configurada 

para el enrutador 

virtual. 

Desactivado. 

Ninguna. 

Ninguna. 

Configurar los parámetros de interfaz de RIP 91




Puede definir mapas de rutas de entrada y salida en el nivel del enrutador virtual o 

en el nivel de la interfaz. Un mapa de rutas definido en el nivel de la interfaz tiene 

preferencia sobre un mapa de rutas definido en el nivel del enrutador virtual. Por 

ejemplo, si define un mapa de rutas de entrada en el nivel del enrutador virtual y 

otro mapa de rutas de entrada en el nivel de la interfaz, éste último tendrá 

preferencia sobre el primero. Para obtener más información, consulte “Configurar 

un mapa de rutas” en la página 40. 

En el siguiente ejemplo, configuramos los siguientes parámetros RIP para la interfaz 

trust: 

Active la autenticación MD5 con la clave 1234567898765432 y la ID de clave 

215. 

Habilite la opción de horizonte dividido con rutas inalcanzables para la interfaz. 

WebUI 

Network > Interfaces > Edit (para Trust) > RIP: Introduzca los siguientes 


Authentication: MD5 (seleccione) 

Key: 1234567898765432 

Key ID: 215 

Split Horizon: Enabled with poison reverse (seleccione) 

CLI 

set interface trust protocol rip authentication md5 1234567898765432 key-id 

215 

set interface trust protocol rip split-horizon poison-reverse 

save 


enrutamiento RIP y ciertos métodos de prevención de ataques. 

NOTA: Para que RIP sea más seguro, todos los enrutadores de un dominio RIP deben 

configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador 

RIP comprometido podría llegar a dejar inservible todo el domino de 

enrutamiento RIP. 

Autenticar vecinos mediante una contraseña 

Un enrutador RIP se puede suplantar fácilmente, ya que los paquetes RIP no se 

encriptan, y la mayoría de los analizadores de protocolo permiten desencapsular 

paquetes RIP. La mejor forma de acabar con el riesgo de este tipo de ataques será 

autenticando a los vecinos RIP. 

RIP ofrece dos formas de validar los paquetes RIP recibidos de los vecinos: por 

autenticación de contraseña simple y por autenticación MD5. Todos los paquetes 

RIP recibidos en la interfaz que no se autentiquen se descartarán. De forma 

predeterminada, ninguna interfaz RIP tiene la autenticación habilitada.

Configurar vecinos fiables 


Para la autenticación MD5 es necesario utilizar la misma clave para los enrutadores 

RIP de envío y recepción. Puede especificar más de una clave MD5 en el dispositivo 

de seguridad, cada una de las cuales tendrá su propia clave. Si configura varias 

claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador para 

la clave que se utilizará para autenticar las comunicaciones con el enrutador vecino. 

De esta forma es posible cambiar periódicamente las claves MD5 por parejas de 

enrutadores minimizando el riesgo de que algún paquete se descarte. 

En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 y 

seleccionará una de ellas para que sea la clave activa. El identificador de clave 

predeterminado es 0, de forma que no tendrá que especificar el identificador para 

la primera clave MD5 que introduzca. 

WebUI 

Network > Interfaces > Edit (para ethernet1) > RIP: Introduzca los siguientes 


MD5 Keys: (seleccione) 

1234567890123456 (primer campo de clave) 

9876543210987654 (segundo campo de clave) 

Key ID: 1 

Preferred: (seleccione) 

CLI 

set interface ethernet1 protocol rip authentication md5 1234567890123456 

set interface ethernet1 protocol rip authentication md5 9876543210987654 

key-id 1 

set interface ethernet1 protocol rip authentication md5 active-md5-key-id 1 

save 

Los entornos de acceso múltiple permiten que los dispositivos, incluyendo los 

enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto 

puede provocar problemas de estabilidad o rendimiento si los dispositivos 

conectados no son fiables. Con objeto de evitar este problema, puede utilizar una 

lista de acceso para filtrar los dispositivos admitidos como vecinos RIP. De forma 

predeterminada, sólo se admiten como vecinos RIP los dispositivos ubicados en la 

misma subred que el enrutador virtual (VR). 

En este ejemplo, configurará los siguientes parámetros globales para la instancia de 

enrutamiento RIP que se está ejecutando en el trust-vr: 

El número máximo de vecinos RIP es 1. 

La dirección IP del vecino fiable, 10.1.1.1, figura en una lista de acceso. 





WebUI 





IP/Netmask: 10.1.1.1/32 




Trusted Neighbors: (seleccione), 10 

Maximum Neighbors: 1 

CLI 


ns(trust-vr)-> set access-list 10 permit ip 10.1.1.1/32 1 

ns(trust-vr)-> set protocol rip 

ns(trust-vr/rip)-> set max-neighbor-count 1 

ns(trust-vr/rip)-> set trusted-neighbors 10 

ns(trust-vr/rip)-> exit 


save 




puede entregar información crítica a los paquetes antes de reenviarlos. En los 

dispositivos de seguridad de Juniper Networks, RIP acepta en principio cualquier 

ruta predeterminada reconocida en RIP y agrega la ruta predeterminada a la tabla 

de rutas. 

En el siguiente ejemplo, configurará la instancia de enrutamiento RIP que se está 

ejecutando en el trust-vr para que rechace todas las rutas predeterminadas 

reconocidas en RIP. 

WebUI 



Reject Default Route Learnt by RIP: (seleccione) 

CLI 

set vrouter trust-vr protocol rip reject-default-route 

save

Proteger contra inundaciones 


Un enrutador que se encuentre comprometido o que no funcione correctamente 

puede inundar a sus vecinos con paquetes de actualización de enrutamiento RIP. En 

el enrutador virtual (VR), es posible configurar el número máximo de paquetes de 

actualización que se pueden recibir en una interfaz RIP durante un intervalo de 

actualización para impedir la inundación con paquetes de actualización. Todos los 

paquetes de actualización que excedan el umbral de actualización configurado se 

descartarán. Si no se establece ningún umbral de actualización, se aceptarán todos 

los paquetes de actualización. 

Es necesario actuar con cuidado al configurar un umbral de actualización cuando 

los vecinos tienen tablas de enrutamiento de grandes dimensiones, ya que el 

número de actualizaciones de enrutamiento puede ser bastante elevado durante un 

intervalo determinado debido a las actualizaciones flash. Los paquetes de 

actualización que excedan el umbral se descartan, y es posible que no se 

reconozcan rutas válidas. 

Configurar un umbral de actualización 

En este ejemplo, ajustará a 4 el número máximo de paquetes de actualización de 

enrutamiento que RIP puede recibir en una interfaz. 

WebUI 



CLI 

Maximum Number Packets per Update Time: (seleccione), 4 

set vrouter trust-vr protocol rip threshold-update 4 

save 

Habilitar RIP en interfaces de túnel 

En el siguiente ejemplo se crea y habilita una instancia de enrutamiento RIP en el 

trust-vr del Dispositivo-A. RIP se habilita en la interfaz de túnel VPN y en la interfaz 

de zona Trust. Sólo las rutas que se encuentran en la subred 10.10.0.0/16 se 

notifican al vecino RIP del Dispositivo-B. Esto se realiza configurando en primer 

lugar una lista de acceso que sólo permita las direcciones de la subred 10.10.0.0/16 

y especificando después un mapa de rutas abcd que permita las rutas que coincidan 

con la lista de acceso. A continuación, se indica el mapa de rutas para filtrar las 

rutas notificadas a los vecinos RIP. 



Figura 15: Ejemplo de interfaz de túnel con RIP 

Zona Trust 

10.20.0.0/16 

10.10.0.0/16 


La Figura 15 muestra el escenario de la red que se describe. 

Dispositivo-A (RIP) 

Enrutador RIP tunnel.1 Enrutador RIP 

WebUI 

Network > Routing > Virtual Router > Edit (para trust-vr) > Create RIP 

Instance: Seleccione Enable RIP y haga clic en OK. 

Network > Routing > Virtual Router > Access List (para trust-vr) > New: 




IP/Netmask: 10.10.0.0/16 


Internet Dispositivo-B (RIP) 1.1.1.1/16 

Túnel VPN 

Zona Untrust 

2.2.2.2/16

CLI 


Network > Routing > Virtual Router > Route Map (para trust-vr) > New: 


Map Name: abcd 




Access List: (seleccione), 10 

Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP 

Instance: Seleccione los siguientes datos y haga clic en OK: 

Outgoing Route Map Filter: abcd 

Network > Interfaces > Edit (para tunnel.1) > RIP: Introduzca los siguientes 


Enable RIP: (seleccione) 

Network > Interfaces > Edit (para trust) > RIP: Introduzca los siguientes datos 

y haga clic en Apply: 

Enable RIP: (seleccione) 

Configuraciones opcionales de RIP 

Configurar la versión de RIP 



set interface tunnel.1 protocol rip enable 

set interface trust protocol rip enable 


set vrouter trust-vr route-map name abcd permit 10 

set vrouter trust-vr route-map abcd 10 match ip 10 

set vrouter trust-vr protocol rip route-map abcd out 

save 

Esta sección describe las diversas funciones de RIP que puede configurar. 

En los dispositivos de seguridad de Juniper Networks, puede configurar la versión 

de Routing Information Protocol (RIP) para el enrutador virtual (VR) y para cada 

interfaz RIP que envíe y reciba actualizaciones. Según RFC 2453, el VR puede 

ejecutar una versión de RIP diferente de la instancia de RIP ejecutada en una 

interfaz determinada. Puede configurar también diversas versiones de RIP para 

enviar y recibir actualizaciones en una interfaz RIP. 

En el VR, puede configurar la versión 1 o la versión 2 de RIP; el valor 

predeterminado es la versión 2. Para enviar actualizaciones en interfaces RIP, puede 

configurar la versión 1, la versión 2 o el modo compatible con la versión 1 de RIP 

(descrito en RFC 2453). Para recibir actualizaciones en interfaces RIP, puede 

configurar la versión 1 o la versión 2 de RIP o ambas versiones; 1 y 2. 

Configuraciones opcionales de RIP 97


98 Configuraciones opcionales de RIP 

NOTA: No se recomienda usar ambas versiones 1 y 2 a la vez. Entre la versión 1 y 2 del 

protocolo pueden producirse complicaciones de red. 

Para enviar y recibir actualizaciones en interfaces RIP, la versión predeterminada de 

RIP es la versión que está configurada para el VR. 

En el ejemplo siguiente, establece la versión 1 de RIP en trust-vr. Para la interfaz 

ethernet3, establece la versión 2 de RIP tanto para enviar como para recibir 

actualizaciones. 

WebUI 

Network > Routing > Virtual Router > Edit (para trust-vr) > Edit RIP 

Instance: Seleccione V1 para Version, luego haga clic en Apply. 

Network > Interfaces > Edit (para ethernet3) > RIP: Seleccione V2 para 

Sending and Receiving in Update Version, luego haga clic en Apply. 

CLI 

set vrouter trust-vr protocol rip version 1 

set interface ethernet3 protocol rip receive-version v2 

set interface ethernet3 protocol rip send-version v2 

save 

Para verificar la versión de RIP en el VR y en las interfaces RIP, puede introducir el 

comando get vrouter trust-vr protocol rip. 

ns-> get vrouter trust-vr protocol rip 

VR: trust-vr 

---------------------------------- 

State: enabled 

Version: 1 

Default metric for routes redistributed into RIP: 10 

Maximum neighbors per interface: 512 

Not validating neighbor in same subnet: disabled 

Next RIP update scheduled after: 14 sec 

Advertising default route: disabled 

Default routes learnt by RIP will be accepted 



Update packet threshold is not configured 

Total number of RIP interfaces created on vr(trust-vr): 1 

Update Invalid Flush (Timers in seconds) 

------------------------------------------------------------- 

30 180 120 

Flags: Split Horizon - S, Split Horizon with Poison Reverse - P, Passive - I 

Demand Circuit - D 

Interface IP-Prefix Admin State Flags NbrCnt Metric Ver-Rx/Tx 

-------------------------------------------------------------------------------ethernet3 

20.20.1.2/24 enabled enabled S 0 1 2/2 

En el ejemplo de arriba, el dispositivo de seguridad está ejecutando la versión 1 de 

RIP en trust-vr; pero se está ejecutando la versión 2 de RIP en la interfaz ethernet3 

para enviar y recibir actualizaciones.

Habilitar y deshabilitar un resumen de prefijo 


Puede configurar una ruta de resumen que englobe el rango de prefijos de ruta al 

que RIP deberá notificar. Entonces, el dispositivo de seguridad notifica solamente la 

ruta que corresponde al rango de resumen en lugar de notificar individualmente 

cada ruta incluida en el rango de resumen. Esto puede reducir el número de 

entradas de ruta enviadas en las actualizaciones de RIP y reducir el número de 

entradas que los vecinos RIP necesitan almacenar en sus tablas de enrutamiento. 

Habilite el resumen de ruta en la interfaz RIP desde la que el dispositivo envía. 

Puede elegir resumir las rutas en una interfaz y enviar las rutas sin el resumen en 

otra interfaz. 

NOTA: No puede habilitar selectivamente el resumen para un rango de resumen 

específico; cuando habilita el resumen en una interfaz, todas las rutas de resumen 

configuradas aparecen en las actualizaciones de enrutamiento. 

Al configurar la ruta de resumen, no puede especificar los rangos de prefijos 

múltiples solapados. Tampoco puede especificar un rango de prefijos que incluya la 

ruta predeterminada. Puede especificar opcionalmente una métrica para la ruta de 

resumen. Si no especifica una métrica, se utilizará la métrica más grande para 

todas las rutas incluidas en el rango de resumen. 

En ocasiones, una ruta resumida puede crear oportunidades para que se produzcan 

bucles. Puede configurar una ruta hacia una interfaz NULL para evitar bucles. Para 

obtener más información sobre establecer una interfaz NULL, consulte“Impedir la 

creación de bucles por las rutas resumidas” en la página 11. 

Habilitar un resumen de prefijo 

En el ejemplo siguiente, configure una ruta de resumen 10.1.0.0/16, que englobe 

los prefijos 10.1.1.0/24 y 10.1.2.0/24. Para permitir que ethernet3 envíe la ruta de 

resumen en las actualizaciones de RIP, necesita habilitar el resumen en la interfaz. 

WebUI 

Network > Routing > Virtual Routers > Edit (for trust-vr) > Edit RIP Instance 

> Summary IP: Introduzca los siguientes datos y haga clic en Add: 

Summary IP: 10.1.0.0 

Netmask: 16 

Metric: 1 

Network > Interface > Edit (para ethernet3) > RIP: Seleccione 

Summarization, luego haga clic en Apply. 

CLI 

set vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 

set interface ethernet3 protocol rip summary-enable 

save 



Ajustar rutas alternas 


Inhabilitar un resumen de prefijo 

En el ejemplo siguiente, inhabilite una ruta de resumen del prefijo para ethernet3 

en el trust-vr. 

WebUI 

Network > Interface Edit > RIP: Desactive Summarization, luego haga clic en 

Apply. 

CLI 

unset vrouter trust-vr protocol rip summary-ip 10.1.0.0/16 

unset interface ethernet3 protocol rip summary-enable 

save 

El dispositivo de seguridad mantiene una base de datos RIP para las rutas que ha 

reconocido el protocolo y las rutas que se redistribuyen en RIP. De forma 

predeterminada, solamente se mantiene la mejor ruta de un prefijo dado en la base 

de datos. Puede permitir la existencia de una, dos o tres rutas alternativas de RIP 

para el mismo prefijo en la base de datos RIP. Si permite las rutas alternativas para 

un prefijo en la base de datos RIP, las rutas al mismo prefijo con un origen RIP o un 

‘siguiente salto’ diferente se añaden a la base de datos RIP. Esto hace que RIP pueda 

admitir los circuitos de demanda y la conmutación rápida en caso de error. 

NOTA: Recomendamos el uso de rutas alternativas con los circuitos de demanda. Para 

obtener más información sobre circuitos de demanda, consulte “Circuitos de 

demanda en interfaces de túnel” en la página 101. 

Solamente se añade a la tabla de enrutamiento de un enrutador virtual (VR) y se 

anuncia en actualizaciones RIP la mejor ruta de la base de datos RIP de un prefijo 

dado. Si se elimina la mejor ruta de la tabla de enrutamiento de un VR, el RIP añade 

la siguiente ruta mejor para el mismo prefijo de la base de datos RIP. Si se añade a 

la base de datos RIP una ruta nueva, que es mejor que la mejor ruta existente en la 

tabla de enrutamiento de un VR, RIP se actualiza para utilizar la nueva ruta mejor a 

la tabla de enrutamiento y deja de utilizar la ruta antigua. Según el límite de la ruta 

alternativa que haya configurado, RIP puede o no eliminar la ruta antigua de la base 

de datos RIP. 

Puede visualizar la base de datos RIP ejecutando este comando CLI: get vrouter 

vrouter protocol rip database. En el ejemplo siguiente, el número de rutas 

alternativas para la base de datos RIP se ajusta a un número mayor que 0. La base 

de datos RIP muestra dos entradas para el prefijo 10.10.70.0/24 en la base de datos 

RIP, una con un coste de 2 y otra con un coste de 4. La mejor ruta para el prefijo, la 

ruta con el coste más bajo, se incluye en la tabla de enrutamiento de VR.


ns-> get vrouter trust-vr protocol rip database 

VR: trust-vr 

-------------------------------------------------------------------------------- 

Total database entry: 14 

Flags: Added in Multipath - M, RIP - R, Redistributed - I 

Default (advertised) - D, Permanent - P, Summary - S 

Unreachable - U, Hold - H 

DBID Prefix Nexthop Interface Cost Flags Source 

-------------------------------------------------------------------------------- 

. 

. 

. 

47 10.10.70.0/24 10.10.90.1 eth4 2 MR 10.10.90.1 

46 10.10.70.0/24 10.10.90.5 eth4 4 R 10.10.90.5 

. 

. 

Si está habilitado el enrutamiento multidireccional de igual coste (ECMP) (consulte 

“Configurar el enrutamiento de rutas múltiples de igual coste” en la página 37) y 

existen rutas múltiples de igual coste en la base de datos RIP para un prefijo dado, 

RIP añade las rutas múltiples para el prefijo en la tabla de enrutamiento del VR 

hasta el límite de ECMP. En algunos casos, el límite de la ruta alternativa en la base 

de datos RIP puede hacer que las rutas RIP no se añadan a la tabla de enrutamiento 

del VR. Si el límite de ECMP es inferior o igual al límite de la ruta alternativa en la 

base de datos RIP, las rutas RIP que no se añadan a la tabla de enrutamiento del VR 

permanecerán en la base de datos RIP; estas rutas se añaden a la tabla de 

enrutamiento del VR solamente si se elimina una ruta anteriormente añadida o si 

ya no es la “mejor” ruta RIP para el prefijo de red. 

Por ejemplo, si el límite de ECMP es 2 y el límite de la ruta alternativa en la base de 

datos RIP es 3, solamente podrá haber dos rutas RIP para el mismo prefijo con el 

mismo coste en la tabla de enrutamiento del VR. Puede haber otras rutas con el 

mismo prefijo/mismo coste en la base de datos RIP, pero solamente se añaden dos 

rutas a la tabla de enrutamiento del VR. 

En el ejemplo siguiente, establezca en 1 el número de rutas alternativas permitidas 

para un prefijo de la base de datos RIP en trust-vr. Esto permite que haya una ruta 

“mejor” y una ruta alternativa en cualquier prefijo dado de la base de datos RIP en 

el VR. 

WebUI 

Network > Routing > Edit (for trust-vr) > Edit RIP Instance: Introduzca 1 en 

el campo Maximum Alternative Route, luego haga clic en Apply. 

CLI 

set vrouter trust-vr protocol rip alt-route 1 

save 

Circuitos de demanda en interfaces de túnel 

Un circuito de demanda es una conexión de punto a punto entre dos interfaces 

de túnel. Sobrecarga mínima de red en términos del paso de mensajes entre los 

puntos extremo del circuito de demanda. Los circuitos de demanda de RIP, 

definidos por RFC 2091 para las redes de área extensa, admiten grandes 

cantidades de vecinos RIP en los túneles VPN de los dispositivos de seguridad 

de Juniper Networks. 




Los circuitos de demanda de RIP eliminan la transmisión periódica de los paquetes 

RIP a través de la interfaz de túnel. Para evitar la sobrecarga, el dispositivo de 

seguridad envía la información RIP solamente cuando se producen cambios en la 

base de datos de enrutamiento. El dispositivo de seguridad retransmite también las 

actualizaciones y peticiones hasta que se reciben los reconocimientos válidos. El 

dispositivo de seguridad reconoce los vecinos RIP mediante la configuración de 

vecinos estática; y si se desactiva el túnel VPN, el RIP limpia las rutas reconocidas 

desde la dirección IP del vecino. 

Las rutas reconocidas de los circuitos de demanda no caducan con los 

temporizadores RIP porque los circuitos de demanda están en un estado 

permanente. Las rutas en estado permanente se eliminan solamente bajo las 

condiciones siguientes: 

Una ruta antes accesible cambia a inalcanzable en una respuesta entrante 

El túnel VPN se desactiva o el circuito de demanda está desactivado debido a 

un número excesivo de retransmisiones no reconocidas 

En el dispositivo de seguridad, también puede configurar una interfaz de túnel de 

punto a punto o de punto a multipunto como circuito de demanda. Debe inhabilitar 

route-deny (si está configurado) en un túnel de punto a multipunto de modo que 

todas las rutas puedan alcanzar sitios remotos. Aunque no se requiera, también 

puede inhabilitar el horizonte dividido en la interfaz de punto a multipunto con los 

circuitos de demanda. Si inhabilita el horizonte dividido, los puntos extremos 

pueden reconocerse mutuamente. 

Debe configurar la supervisión de VPN con reencriptación en los túneles VPN para 

reconocer el estado del túnel. 

Después de configurar el circuito de demanda y los vecinos estáticos, puede ajustar 

el temporizador/retransmisor RIP, el temporizador de sondeo, y el temporizador de 

retención para ajustarse a sus requisitos de red. 

Los ejemplos sobre cómo configurar un circuito de demanda y un vecino estático se 

muestran después de esta sección. Un ejemplo de configuración de red RIP con 

circuitos de demanda a través de interfaces de túnel de punto a multipunto empieza 

en la página104. 

En el ejemplo siguiente, configurará la interfaz tunnel.1 para que actúe como 

circuito de demanda y guardará la configuración. 

WebUI 

Network > Interfaces > (Edit) RIP: Seleccione Demand Circuit, luego haga 

clic en Apply. 

CLI 

set interface tunnel.1 protocol rip demand-circuit 

save 

Después de habilitar un circuito de demanda, puede activar su estado y sus 

temporizadores con el comando get vrouter vrouter protocol rip database. La 

Tabla 12 detalla sugerencias para solucionar problemas de rendimiento provocados 

por ajustes del temporizador.

Configurar un vecino estático 


Tabla 12: Solución de problemas del temporizador de retransmisión del circuito de 

demanda 

Rendimiento del circuito de 

demanda Sugerencia 

Relativamente lento Puede reconfigurar el temporizador de retransmisión a un 

valor superior para reducir el número de retransmisiones. 

Sin pérdidas Puede reconfigurar el temporizador de retransmisiones 

para reducir la cuenta de reintentos. 

Congestionado y con pérdidas Puede reconfigurar el temporizador de retransmisiones a 

una cuenta de reintentos superior para dar al vecino 

estático más tiempo de respuesta antes de forzar al vecino 

estático a un estado de POLL. 

Una interfaz de punto a multipunto que esté ejecutando RIP requiere vecinos 

configurados estáticamente. Para los circuitos de demanda de configuración 

manual, es la única forma de que un dispositivo de seguridad reconozca las 

direcciones vecinas en las interfaces de punto a multipunto. Para configurar un 

vecino estático RIP introduzca el nombre de la interfaz y la dirección IP del 

vecino RIP. 

En el ejemplo siguiente, configurará el vecino RIP con la dirección IP 10.10.10.2 

de la interfaz tunnel.1. 

WebUI 

Network > Interfaces > (Edit) RIP: Haga clic en el botón Static Neighbor IP 

para avanzar a la tabla Static Neighbor IP. Introduzca la dirección IP del vecino 

estático y haga clic en Add. 

CLI 

set interface tunnel.1 protocol rip neighbor 10.10.10.2 

unset interface tunnel.1 protocol rip neighbor 10.10.10.2 

save 

Configurar una interfaz de túnel punto a multipunto 

RIP punto a multipunto se admite en interfaces de túnel numeradas para las 

versiones 1 y 2 de RIP. 

PRECAUCIÓN: RIP no se admite en interfaces de túnel sin numerar. Se deben 

numerar todas las interfaces que utilizan protocolo RIP. Cualquier intento por 

configurar y ejecutar una interfaz sin numerar utilizando RIP puede provocar un 

error impredecible en el enrutamiento. 

Configurar una interfaz de túnel punto a multipunto 103


104 Configurar una interfaz de túnel punto a multipunto 

Debe inhabilitar el horizonte dividido en un túnel de interfaz de punto a multipunto 

que configure con circuitos de demanda de modo que los mensajes alcancen todos 

los sitios remotos. Para una interfaz de túnel punto a multipunto sin circuitos de 

demanda, puede dejar habilitada la opción de horizonte dividido (predeterminada). 

RIP reconoce dinámicamente a los vecinos. RIP envía todos los mensajes 

transmitidos a la dirección multicast 224.0.0.9 y los reduplica a todos los túneles 

según convenga. 

Si desea configurar RIP como túnel punto a multipunto con circuitos de demanda, 

debe diseñar su red en una configuración radial (“hub and spoke”). 

NOTA: En este ejemplo, únicamente se hace referencia a las interfaces de línea de 

comandos y no discutimos zonas y otros pasos de configuración necesarios. 

La red de este ejemplo pertenece a una empresa de tamaño mediano con su oficina 

central (CO) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y 

Nueva York. Cada oficina tiene un solo dispositivo de seguridad. Consulte la 

Figura 16 en la página 105. 

Los siguientes son los requisitos de configuración específicos del dispositivo de 

seguridad en la CO: 

1. Configurar el VR para que ejecute una instancia de RIP, habilitar RIP y, a 


2. Configurar las cuatro VPNs y asociarlas a la interfaz tunnel.1. 

3. Configurar vecinos estáticos RIP en el dispositivo de seguridad de la oficina 

central (CO). 

4. No cambiar los valores predeterminados del temporizador en este ejemplo. 

Los siguientes son los requisitos de configuración propios de los dispositivos de 

seguridad remotos de Juniper Networks: 

1. Configurar el VR para que ejecute una instancia de RIP, habilitar RIP y, a 


2. Configurar la VPN y asociarla a la interfaz tunnel.1. 

3. No configurar vecinos estáticos en los dispositivos de seguridad de la oficina 

remota. Los dispositivos de la oficina remota solamente tienen un dispositivo 

vecino que será descubierto por las peticiones multicast iniciales. 

NOTA: No es necesario cambiar los valores predeterminados del temporizador en 

este ejemplo.

Figura 16: Ejemplo de red punto a multipunto con interfaz de túnel 


En el diagrama de red que se muestra en la Figura 16, se originan cuatro VPNs en el 

dispositivo de seguridad de San Francisco e irradian hacia las oficinas remotas en 

Nueva York, Los Angeles, Montreal y Chicago. 

En este ejemplo, configurará los siguientes ajustes en el dispositivo de seguridad de 

la oficina central CO: 


2. VPN 

3. Rutas y RIP 

4. Vecinos estáticos 

5. Ruta de resumen 

Para poder comprobar el estado del circuito en el dispositivo de la oficina central 

CO, debe habilitar la supervisión de VPN. 

Para completar la configuración de la red, configurará los siguientes ajustes en cada 

uno de los cuatro dispositivos de seguridad de las oficinas remotas: 


2. VPN 




Los Angeles 

Nueva York Chicago 

tunnel.1 10.0.0.2 

Untrust 1.1.1.2 

tunnel.1 10.0.0.3 


San Francisco (CO) 

ethernet3 1.1.1.1 

tunnel.1 10.0.0.1 

4 VPNs asociadas a tunnel.1 

VPN 1 VPN 2 

Internet 

VPN 3 

Montreal 

tunnel.1 10.0.0.4 


VPN 4 

tunnel.1 10.0.0.5 








WebUI (dispositivo de la oficina central) 

1. Zonas e interfaces de seguridad 



Network > Interfaces > Edit (para ethernet3) 

2. VPN 




virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador 

virtual. 

Network > Interfaces > Edit > Haga clic en Edit y luego en RIP, luego habilite 

RIP en la interfaz. 


Network > Interfaces > Edit > RIP > Static Neighbor IP y luego en Add 

Neighbor IP Address. 


Network > Routing > Virtual Router Edit (RIP) > Haga clic en Summary IP y 

configure la dirección IP del resumen. 

CLI (dispositivo de la oficina central) 






2. VPN 


ripdc proposal pre-g2-3des-sha 









set vpn vpn1 bind interface tunnel.1




set vpn vpn2 bind interface tunnel.1 








set vrouter trust protocol rip 

set vrouter trust protocol rip enable 

set vrouter protocol rip summary-ip 100.10.0.0/16 

set interface tunnel.1 protocol rip 









set interface tunnel.1 protocol rip summary-enable 

save 

Puede seguir estos pasos para configurar el dispositivo de seguridad de la oficina 

remota. Al configurar la oficina remota, no necesita configurar vecinos estáticos. En 

un entorno de circuito de demanda, solamente existe un vecino para el dispositivo 

remoto y éste reconoce la información del vecino cuando envía un mensaje 

multicast durante el arranque. 

Para completar la configuración mostrada en el diagrama de la página105, debe 

repetir esta sección por cada dispositivo remoto y cambiar las direcciones IP, los 

nombres de puerta de enlace y los nombres de VPN para cumplir las necesidades 

de la red. En cada sitio remoto, las zonas trust y untrust cambian. 




WebUI (dispositivo de oficina remota) 




Network > Interfaces > Edit (para ethernet3) 

2. VPN 







virtual y haga clic en Create RIP Instance, luego habilite RIP en el enrutador 

virtual. 

Network > Interfaces > Edit > Haga clic en Edit y luego en RIP, luego habilite 

RIP en la interfaz. 


Directivas (de todas las zonas a todas las zonas) > Haga clic en New. 

CLI (dispositivo de oficina remota) 

1. Protocolo de enrutamiento e interfaz 



set interface untrust ip 1.1.1.1/24 



2. VPN 

set ike gateway gw1 address 1.1.1.1/24 main outgoing-interface untrust preshare 




set vpn vpn1 id 1 bind interface tunnel.1 


set interface tunnel.1 protocol rip 




set policy id 1 from trust to untrust any any any permit 

set policy id 2 from untrust to trust any any any permit 

save 

Puede ver los nuevos cambios ejecutando el comando get vrouter vrouter protocol 

rip neighbors. Los vecinos de un circuito de demanda aparecen en la tabla de 

vecinos; la información del vecino no envejece ni expira. Puede ver la base de datos 

RIP ejecutando el comando get vrouter vrouter protocol rip database. P de 

permanent aparece junto a las entradas de los circuitos de demanda.

Capítulo 5 

Protocolo BGP 

En este capítulo se describe el protocolo BGP (protocolo de puerta de enlace de 

borde, o Border Gateway Protocol) en los dispositivos de seguridad de Juniper 

Networks. Contiene las siguientes secciones: 


“Tipos de mensajes BGP” en la página 110 

“Atributos de ruta” en la página 111 

“BGP externo e interno” en la página 111 

“Configuración básica de BGP” en la página 112 

“Crear y habilitar una instancia de BGP” en la página 113 

“Habilitar y deshabilitar BGP en interfaces” en la página 114 

“Configurar grupos de interlocutores e interlocutores BGP” en la página 115 

“Comprobar la configuración BGP” en la página 118 


“Autenticar vecinos BGP” en la página 120 


“Redistribuir rutas en BGP” en la página 122 

“Configurar una lista de acceso AS-Path” en la página 123 

“Agregar rutas a BGP” en la página 124 

“Capacidad de enrutamiento-actualización” en la página 126 

“Configuración de la reflexión de rutas” en la página 127 

“Configurar una confederación” en la página 130 

“Comunidades BGP” en la página 131 

“Agregar rutas” en la página 132 

109


Vista general 

Tipos de mensajes BGP 


El protocolo BGP (Border Gateway Protocol) es un protocolo de vectores de rutas 

que se utiliza para transportar información de enrutamiento entre sistemas 

autónomos (AS). Un AS es un conjunto de enrutadores que se encuentran en el 

mismo dominio administrativo. 

La información de enrutamiento BGP incluye la secuencia de números de los AS 

que un prefijo de red (una ruta) ha atravesado. La información de ruta asociada al 

prefijo se utiliza para prevenir bucles y reforzar las directivas de enrutamiento. 

ScreenOS es compatible con la versión 4 de BGP (BGP-4) tal y como se define en la 

norma RFC 1771. 

Dos interlocutores BGP establecen una sesión BGP para intercambiar información de 

enrutamiento. Un enrutador BGP puede participar en sesiones BGP con distintos 

interlocutores. En primer lugar, los interlocutores BGP deben establecer una 

conexión TCP entre sí para abrir una sesión BGP. Una vez establecida la conexión 

inicial, los interlocutores intercambian las tablas de enrutamiento completas. A 

medida que cambian las tablas de enrutamiento, los enrutadores BGP intercambian 

mensajes de actualización con los interlocutores. Cada enrutador BGP mantiene 

actualizadas las tablas de enrutamiento de todos los interlocutores con los que tiene 

sesiones, enviándoles periódicamente mensajes de mantenimiento de conexión 

para verificar las conexiones. 

El interlocutor BGP sólo notifica las rutas que está utilizando en ese momento. 

Cuando un interlocutor BGP notifica una ruta a su vecino, incluye atributos de ruta 

que describen sus características. El enrutador BGP compara los atributos de ruta y 

el prefijo para elegir la mejor ruta de todas las disponibles para un destino 

determinado. 

El protocolo BGP utiliza cuatro tipos de mensajes para la comunicación con los 

interlocutores: 

Los mensajes de Open permiten que los interlocutores BGP se identifiquen 

mutuamente antes de iniciar la sesión GP. Estos mensajes se envían cuando los 

interlocutores han establecido una sesión TCP. Durante el intercambio de 

mensajes de apertura, los interlocutores BGP especifican su versión de 

protocolo, número de AS, tiempo de espera e identificador BGP. 

Los mensajes de Update notifican rutas al interlocutor y descartan las rutas 

notificadas previamente. 

Los mensajes de Notification indican errores. La sesión BGP se termina y se 

cierra la sesión TCP. 

NOTA: El dispositivo de seguridad no enviará un mensaje de notificación a un interlocutor 

si, durante el intercambio de mensajes de apertura, el interlocutor indica que 

admite protocolos con los que el dispositivo de seguridad no es compatible. 

Los mensajes de Keepalive se utilizan para el mantenimiento de la sesión BGP. 

De forma predeterminada, el dispositivo de seguridad envía mensajes de 

mantenimiento de conexión a los interlocutores cada 60 segundos. Este 

intervalo se puede configurar.

Atributos de ruta 

BGP externo e interno 

Capítulo 5: Protocolo BGP 

Los atributos de ruta BGP son un grupo de parámetros que describen las 

características de una ruta. El protocolo BGP empareja los atributos con la ruta que 

describen y, a continuación, compara todas las rutas disponibles para un destino 

para así seleccionar la mejor ruta de acceso a ese destino. Los atributos de ruta 

obligatorios y bien conocidos son: 

Origin describe el origen de la ruta (puede ser IGP, EGP o estar incompleto). 

AS-Path contiene una lista de sistemas autónomos a través de los cuales ha 

pasado la notificación de ruta. 

Next-Hop es la dirección IP del enrutador al que se envía tráfico para la ruta. 

Los atributos de ruta opcionales son: 

Multi-Exit Discriminator (MED) es una métrica para aquellas rutas en las que 

hay múltiples vínculos entre sistemas autónomos (un AS configura el MED y 

otro AS lo utiliza para elegir una ruta). 

Local-Pref es una métrica utilizada para informar a los interlocutores BGP de 

las preferencias del enrutador local para elegir una ruta. 

Atomic-Aggregate informa a los interlocutores BGP de que el enrutador local 

seleccionó una ruta menos específica de un conjunto de rutas superpuestas 

recibidas de un interlocutor. 

Aggregator especifica el AS y el enrutador que realizaron la agregación de 

la ruta. 

Communities especifica una o varias comunidades a las que pertenece la ruta. 

Cluster List contiene una lista de los clústeres de reflexión a través de los 

cuales ha pasado la ruta. 

Un enrutador BGP puede decidir si desea agregar o modificar los atributos de ruta 

opcionales antes de notificársela a los interlocutores. 

El protocolo BGP externo (EBGP) se utiliza entre sistemas autónomos, p. ej., cuando 

distintas redes ISP se conectan entre sí o una red empresarial se conecta a una red 

ISP. El protocolo BGP interno (IBGP) se utiliza dentro de un sistema autónomo, p. 

ej., una red de una empresa. El objetivo principal de IBGP es distribuir los 

enrutadores reconocidos por EBGP en los enrutadores del AS. Un enrutador IBGP 

puede notificar a sus interlocutores IBGP rutas reconocidas por sus interlocutores 

EBGP, pero no puede notificar rutas reconocidas por sus interlocutores IBGP a otros 

interlocutores IBGP. Esta restricción impide que se formen bucles de notificación de 

ruta dentro de la red, pero también implica que una red IBGP debe estar 

absolutamente mallada (es decir, cada enrutador BGP de la red debe tener una 

sesión con cada uno de los otros enrutadores de la red). 

Ciertos atributos de ruta sólo son aplicables a EBGP o IBGP. Por ejemplo, el atributo 

MED sólo se utiliza en mensajes EBGP, mientras que el atributo LOCAL-PREF sólo 

está presente en mensajes IBGP. 

Vista general 111


Configuración básica de BGP 

Figura 17: Ejemplo de configuración BGP 

Número del 

sistema 

autónomo 

ID del enrutador 

1.1.1.250 

112 Configuración básica de BGP 

En un dispositivo de seguridad, cada instancia BGP se crea individualmente por 

cada enrutador virtual (VR). Si dispone de varios VR en un dispositivo, podrá 

habilitar múltiples instancias de BGP, una por cada enrutador virtual. 



Capítulo 2, “Enrutamiento”. 

AS 65000 

Los cinco pasos básicos para configurar BGP en un VR en un dispositivo de 

seguridad son: 

1. Crear y habilitar la instancia de enrutamiento de BGP en un enrutador virtual, 

asignando primero un número de sistema autónomo a la instancia de BGP y 

habilitando después la instancia. 

2. Habilitar BGP en la interfaz conectada al interlocutor. 

3. Habilitar cada interlocutor BGP. 

4. Configurar uno o varios interlocutores BGP remotos. 

5. Comprobar que el protocolo BGP está configurado correctamente y funciona. 

Esta sección describe cómo realizar cada una de estas tareas utilizando CLI o WebUI 

para el siguiente ejemplo. La Figura 17 muestra el dispositivo de seguridad como un 

interlocutor BGP en AS 65000. Tiene que configurar el dispositivo de seguridad para 

que pueda establecer una sesión BGP con el interlocutor en AS 65500. 

Dispositivo de seguridad local 

Dirección IP de 

interfaz 1.1.1.1/24 

BGP habilitado 

Sistemas autónomos 

Interlocutores BGP 

Dirección IP de 

interfaz 2.2.2.2/24 

BGP habilitado 

Enrutador remoto 

AS 65500 

Número del 

sistema 

autónomo 

ID de enrutador 

2.2.2.250

Crear y habilitar una instancia de BGP 


Cada instancia de enrutamiento de BGP se crea y se habilita en un enrutador virtual 

(VR) específico ubicado en un dispositivo de seguridad. Para crear una instancia de 

enrutamiento BGP, primero se debe especificar el número de sistema autónomo en 

el que se encuentra el VR. Si el enrutador virtual es un enrutador IBGP, el número de 

sistema autónomo será el mismo que el de otros enrutadores IBGP de la red. 

Cuando se habilita la instancia de enrutamiento BGP en un VR, la instancia de 

enrutamiento BGP será capaz de establecer contacto e iniciar una sesión con los 

interlocutores BGP que configure. 

NOTA: Los números de sistemas autónomos (AS) son números exclusivos en todo el 

mundo que se utilizan para intercambiar información de enrutamiento EBGP y 

para identificar el sistema autónomo. Las siguientes entidades asignan números 

de AS: American Registry for Internet Numbers (ARIN), Réseaux IP Européens 

(RIPE) y Asia Pacific Network Information Center (APNIC). Los números 64512 a 

65535 son de uso privado y no para su notificación global en Internet. 

Crear una instancia BGP 

En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador a 

trust-vr. A continuación creará y habilitará una instancia de enrutamiento BGP en el 

trust-vr, que se encuentra en el dispositivo de seguridad en AS 65000. (Para obtener 

más información sobre enrutadores virtuales y cómo configurar un enrutador 

virtual en dispositivos de seguridad, consulte “Enrutamiento” en la página 13). 

WebUI 





En el cuadro de texto, escriba 0.0.0.10 

2. Instancia de enrutamiento de BGP 

Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP 


CLI 

AS Number (obligatorio): 65000 

BGP Enabled: (seleccione) 



2. Instancia de enrutamiento de BGP 

set vrouter trust-vr protocol bgp 65000 

set vrouter trust-vr protocol bgp enable 

save 

Configuración básica de BGP 113



Eliminar una instancia de BGP 

En este ejemplo inhabilitará y eliminará la instancia de enrutamiento de BGP en el 

enrutador trust-vr. BGP detendrá todas las sesiones con los interlocutores. 

WebUI 

Network > Routing > Virtual Routers (trust-vr) > Edit > Edit BGP Instance: 

Anule la selección de BGP Enabled y haga clic en OK. 

Network > Routing > Virtual Routers (trust-vr) > Edit: Seleccione Delete BGP 

Instance, luego haga clic en OK cuando aparezca el mensaje de confirmación. 

CLI 

unset vrouter trust-vr protocol bgp enable 

unset vrouter trust-vr protocol bgp 65000 

save 

Habilitar y deshabilitar BGP en interfaces 

Es necesario habilitar BGP en la interfaz donde resida el interlocutor. (De forma 

predeterminada, las interfaces del dispositivo de seguridad no están asociadas a 

ningún protocolo de enrutamiento). 

Habilitar BGP en interfaces 

En este ejemplo habilitará BGP en la interfaz ethernet4. 

WebUI 

Network > Interface Edit > BGP: Marque la habilitación de Protocol BGP, 

luego haga clic en OK. 

CLI 

set interface ethernet4 protocol bgp 

save 

Inhabilitar BGP en interfaces 

En este ejemplo inhabilitará BGP en la interfaz ethernet4. En las demás interfaces 

en las que haya habilitado BGP podrán continuar transmitiendo y procesando 

paquetes BGP. 

WebUI 

Network > Interfaces > Configure (para ethernet4): Desactive Protocol BGP, 

luego haga clic en OK. 

CLI 

unset interface ethernet4 protocol bgp 

save

Configurar grupos de interlocutores e interlocutores BGP 


Antes de que dos dispositivos BGP puedan comunicarse e intercambiar rutas, 

necesitan identificarse mutuamente para poder iniciar una sesión BGP. Es necesario 

especificar las direcciones IP de los interlocutores BGP y, opcionalmente, configurar 

parámetros para establecer y mantener la sesión. Los interlocutores pueden ser 

interlocutores internos (IBGP) o externos (EBGP). Si se trata de un interlocutor EBGP, 

habrá que especificar el sistema autónomo en el que reside el interlocutor. 

Todas las sesiones BGP se autentican comprobando el identificador de interlocutor 

BGP y el número de AS notificado por los interlocutores. Las conexiones correctas 

con un interlocutor se registran. Si surge algún problema durante la conexión con el 

interlocutor, el interlocutor enviará o recibirá un mensaje de notificación BGP, lo 

que hará que la conexión falle o se cierre. 

Es posible configurar parámetros para direcciones de interlocutores individuales. 

También se pueden asignar interlocutores a un grupo de interlocutores, lo que 

permitirá configurar parámetros para el grupo en su conjunto. 

NOTA: No es posible asignar interlocutores IBGP y EBGP al mismo grupo de 

interlocutores. 

La Tabla 13 describe parámetros que se pueden configurar para interlocutores BGP 

y sus valores predeterminados. Una “X” en la columna Interlocutor indica un 

parámetro que se puede configurar para la dirección IP de un interlocutor, mientras 

que una “X” en la columna Grupo de interlocutores indica un parámetro que se 

puede configurar para un grupo de interlocutores. 

Tabla 13: Parámetros de interlocutores BGP y grupos de interlocutores y valores predeterminados 

Parámetro 

BGP Interlocutor 

Advertise 

default route 

Grupo de 

interlocutores Descripción Valor predeterminado 

X Notifica la ruta predeterminada en el enrutador 

virtual a interlocutores BGP. 

La ruta predeterminada 

no se notifica. 

EBGP multihop X X Número de nodos entre el BGP local y el vecino. 0 (desactivado) 

Force connect X X Hace que la instancia de BGP descarte una conexión 

BGP existente con el interlocutor especificado y 

acepte una nueva conexión. Este parámetro resulta 

de utilidad cuando hay una conexión con un 

enrutador que falla y, a continuación, reaparece e 

intenta restablecer una conexión BGP, ya que 

permite un restablecimiento más rápido de la 

conexión entre interlocutores1 . 

N/D 

Hold time X X Tiempo transcurrido sin que lleguen mensajes de 

un interlocutor antes de que se considere fuera 

de servicio. 

Keepalive X X Tiempo entre transmisiones de mantenimiento de 

conexión (keepalive). 

MD5 

authentication 

180 segundos 

1/3 del tiempo de 

espera (hold-time) 

X X Configura la autenticación MD-5. Sólo se comprueba 

el identificador de 

interlocutor y el 

número de AS. 

MED X Configura el valor de atributo MED. 0 



Parámetro 

BGP Interlocutor 

Next-hop self X X En las rutas enviadas al interlocutor, el atributo de 

ruta al salto siguiente se ajusta en la dirección IP de 

la interfaz del enrutador virtual local. 

Reflector client X X El interlocutor es un cliente de reflexión cuando el 

protocolo BGP local se configura como el reflector 

de rutas. 

Reject default 

route 


X No tiene en cuenta las notificaciones de ruta 

predeterminada procedentes de los 

interlocutores BGP. 

Retry time X X Tras un intento fallido de inicio de sesión, tiempo 

que se tarda en reintentar iniciar la sesión BGP. 

Send 

community 

Grupo de 

interlocutores Descripción Valor predeterminado 

Es posible configurar ciertos parámetros en el nivel de interlocutores y en el de 

protocolo (consulte “Configurar una confederación” en la página 130). Por ejemplo, 

puede configurar el valor de tiempo de espera para un interlocutor específico con 

un valor de 210 segundos, mientras que el valor de tiempo de espera 

predeterminado en el nivel de protocolo es de 180 segundos; en tal caso, la 

configuración del interlocutor tendrá preferencia. Los valores MED ajustados en el 

nivel de protocolo y en el nivel de interlocutor pueden ser distintos; el valor MED 

ajustado en el nivel de interlocutor sólo se aplicará a las rutas que se notifiquen a 

esos interlocutores. 

Configurar un interlocutor BGP 

En el siguiente ejemplo configuraremos y habilitaremos un interlocutor BGP. Este 

interlocutor tiene los siguientes atributos: 

Dirección IP 1.1.1.250 

Reside en AS 65500 

Atributo de salto 

siguiente no cambiado 

Ninguna 

Las rutas 

predeterminadas de los 

interlocutores se 

agregan a la tabla de 

enrutamiento 

120 segundos 

X X Transmite el atributo de comunidad al interlocutor. Atributo de comunidad 

no enviado a los 

interlocutores. 

Weight X X Prioridad de ruta entre el BGP local y el interlocutor. 100 

1.Puede utilizar el comando exec neighbor disconnect para hacer que la instancia de BGP descarte una conexión BGP con el 

interlocutor especificado y acepte una nueva conexión. El uso de este comando de ejecución no modifica la configuración 

del interlocutor BGP. Por ejemplo, puede utilizarlo si desea cambiar la configuración del mapa de rutas que se aplica a 

este interlocutor. 

NOTA: Deberá habilitar cada conexión de interlocutor que configure.


WebUI 

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit BGP 

Instance > Neighbors: Introduzca los siguientes datos y haga clic en Add: 

AS Number: 65500 

Remote IP: 1.1.1.250 


Instance > Neighbors > Configure (para el interlocutor que acabe de agregar): 

Seleccione Peer Enabled y luego haga clic en OK. 

CLI 

set vrouter trust-vr protocol bgp neighbor 1.1.1.250 remote-as 65500 

set vrouter trust-vr protocol bgp neighbor 1.1.1.250 enable 

save 

Configurar un grupo de interlocutores IBGP 

Ahora configurará un grupo de interlocutores IBGP llamado ibgp que contendrá las 

siguientes direcciones IP: 10.1.2.250 y 10.1.3.250. Una vez haya definido un grupo 

de interlocutores, podrá configurar parámetros (como la autenticación MD5) que se 

aplicarán a todos los miembros del grupo de interlocutores. 

NOTA: Deberá habilitar cada conexión de interlocutor que configure. Si configura 

interlocutores como parte de un grupo, tendrá que habilitar las conexiones de los 

interlocutores una a una. 

WebUI 


Instance > Peer Group: Escriba ibgp en el campo Group Name, luego haga clic 

en Add. 

> Configure (para ibgp): En el campo Peer authentication, introduzca 

verify03 y haga clic en OK. 




Remote IP: 10.1.2.250 

Peer Group: ibgp (seleccione) 

Introduzca los siguientes datos y haga clic en Add: 


Remote IP: 10.1.3.250 

Peer Group: ibgp (seleccione) 



Comprobar la configuración BGP 



Instance > Neighbors > Configure (para 10.1.2.250): Seleccione Peer Enabled 

y luego haga clic en OK. 


Instance > Neighbors > Configure (para 10.1.3.250): Seleccione Peer Enabled 

y luego haga clic en OK. 

CLI 

set vrouter trust-vr protocol bgp neighbor peer-group ibgp 

set vrouter trust-vr protocol bgp neighbor peer-group ibgp remote-as 65000 

set vrouter trust-vr protocol bgp neighbor peer-group ibgp md5-authentication 

verify03 


set vrouter trust-vr protocol bgp neighbor 10.1.2.250 peer-group ibgp 


set vrouter trust-vr protocol bgp neighbor 10.1.3.250 peer-group ibgp 



save 

Puede revisar la configuración introducida a través de WebUI o CLI ejecutando el 

comando get vrouter vrouter protocol bgp config. 

ns-> get vrouter trust-vr protocol bgp config 

set protocol bgp 65000 

set enable 

set neighbor peer-group "ibgp" 

set neighbor peer-group "ibgp" md5-authentication "cq1tu6gVNU5gvfsO60CsvxVPNnntO 

PwY/g==" 

set neighbor 10.1.2.250 remote-as 65000 

output continues... 

exit 

Para comprobar si BGP se está ejecutando en el enrutador virtual, ejecute el 

comando get vrouter vrouter protocol bgp. 

ns-> get vrouter trust-vr protocol bgp 

Admin State: enable 

Local Router ID: 10.1.1.250 

Local AS number: 65000 

Hold time: 180 

Keepalive interval: 60 = 1/3 hold time, default 

Local MED is: 0 

Always compare MED: disable 

Local preference: 100 

Route Flap Damping: disable 

IGP synchronization: disable 

Route reflector: disable 

Cluster ID: not set (ID = 0) 

Confederation based on RFC 1965 

Confederation: disable (confederation ID = 0) 

Member AS: none 

Origin default route: disable 

Ignore default route: disable


Puede visualizar el estado administrativo del enrutador virtual (VR) y de la 

identificación del enrutador, así como todos los demás parámetros configurados 

relativos al BGP. 

NOTA: Es recomendable asignar una ID de enrutador de forma explícita, en lugar de 

utilizar la ID predeterminada. Para más información sobre cómo configurar una ID 

de enrutador, consulte el Capítulo 2, “Enrutamiento”. 


Para verificar si un interlocutor o grupo de interlocutores BGP está habilitado y 

ver el estado de la sesión de BGP, ejecute el comando get vrouter vrouter protocol 

bgp neighbor. 

ns-> get vrouter trust-vr protocol bgp neighbor 

Peer AS Remote IP Local IP Wt Status State ConnID 

65500 1.1.1.250 0.0.0.0 100 Enabled ACTIVE up 

Total 1 BGP peers shown 

En este ejemplo puede verificar si el interlocutor BGP está habilitado y si la sesión 

está activa. 

El estado puede ser uno de los que aquí se indican: 

Idle: primer estado de la conexión. 

Connect: BGP está esperando una conexión de transporte TCP correcta. 

Active: BGP está iniciando una conexión de transporte 

OpenSent: BGP está esperando un mensaje de apertura (OPEN) del 

interlocutor. 

OpenConfirm: BGP está esperando un mensaje de mantenimiento de conexión 

(KEEPALIVE) o notificación (NOTIFICATION) del interlocutor. 

Established: BGP está intercambiado paquetes de actualización (UPDATE) con 

el interlocutor. 

NOTA: Un estado de sesión que cambia continuamente entre Active y Connect podría indicar 

un problema con la conexión entre interlocutores. 


enrutamiento BGP y ciertos métodos de prevención de ataques. 

NOTA: Para que BGP sea más seguro, todos los enrutadores de un dominio BGP deben 

configurarse con el mismo nivel de seguridad. De lo contrario, un solo enrutador BGP 

comprometido podría llegar a dejar inservible todo el domino de enrutamiento BGP. 



Autenticar vecinos BGP 



Un enrutador BGP se puede suplantar fácilmente, ya que los paquetes BGP no se 

encriptan, y la mayoría de los analizadores de protocolo permiten desencapsular 

paquetes BGP. La mejor forma de acabar con el riesgo de este tipo de ataques será 

autenticando los interlocutores BGP. 

BGP ofrece autenticación MD5 para validar los paquetes BGP recibidos de un 

interlocutor. Para la autenticación MD5 es necesario utilizar la misma clave para los 

enrutadores BGP de envío y de recepción. Todos los paquetes BGP recibidos de un 

determinado interlocutor que no se autentiquen se descartarán. De forma 

predeterminada, para un determinado interlocutor BGP sólo se comprobarán el 

identificador de interlocutor y el número de AS. 

En el siguiente ejemplo configuraremos un interlocutor BGP con la dirección IP 

remota 1.1.1.250 en AS 65500. A continuación configuraremos el interlocutor para 

la autenticación MD5 utilizando la clave 1234567890123456. 

WebUI 




Remote IP: 1.1.1.250 

> Configure (para IP remota 1.1.1.250): Introduzca los siguientes datos y 


Peer Authentication: Enable (seleccione) 

MD5 password: 1234567890123456 

Peer Enabled: (seleccione) 

CLI 


(trust-vr)-> set protocol bgp 

(trust-vr/bgp)-> set neighbor 1.1.1.250 remote-as 65500 

(trust-vr/bgp)-> set neighbor 1.1.1.250 md5-authentication 1234567890123456 

(trust-vr/bgp)-> set neighbor 1.1.1.250 enable 

(trust-vr/bgp)-> exit 

(trust-vr)-> exit 

save 




puede eliminar información crítica de los paquetes antes de reenviarlos. En los 

dispositivos de seguridad, BGP acepta en principio cualquier ruta predeterminada 

enviada por interlocutores BGP y agrega la ruta predeterminada a la tabla de rutas. 

En este ejemplo, configurará la instancia de enrutamiento BGP que se está 

ejecutando en el trust-vr para que no tenga en cuenta las rutas predeterminadas 

enviadas por interlocutores BGP.


WebUI 

Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance: 


CLI 

Configuraciones opcionales de BGP 

Ignore default route from peer: (seleccione) 

set vrouter trust-vr protocol bgp reject-default-route 

save 

En esta sección se describen los parámetros que se pueden configurar para el 

protocolo de enrutamiento BGP en el enrutador virtual. Es posible configurarlos con 

los comandos contextuales BGP de la interfaz de línea de comandos o con la 

WebUI. En esta sección también se muestran algunas de las configuraciones de 

parámetros más complejas. 

La Tabla 14 describe los parámetros de BGP y sus valores predeterminados. 

Tabla 14: Parámetros opcionales de BGP y sus valores predeterminados 

Parámetro del protocolo 

BGP Descripción Valor predeterminado 

Advertise default route Notifica la ruta predeterminada en el 

enrutador virtual a interlocutores BGP. 

Aggregate Crea rutas agregadas. Consulte “Agregar 


La ruta predeterminada 

no se notifica 

Desactivado 

Always compare MED Compara los valores MED de las rutas. Desactivado 

AS path access list Crea una lista de acceso a rutas AS para 

permitir o denegar rutas. 

— 

Community list Crea listas de comunidades. Consulte 

“Comunidades BGP” en la página 131. 

— 

AS confederation Crea confederaciones. Consulte 

“Configurar una confederación” en la 

página 130. 

— 

Equal cost multipath 

(ECMP) 

Se pueden agregar rutas múltiples de igual 

coste para proporcionar equilibrio de 

cargas. Consulte “Configurar el 

enrutamiento de rutas múltiples de igual 

coste” en la página 37. 

Flap damping Bloquea las notificaciones de una ruta 

hasta que es estable. 

Hold time Tiempo transcurrido sin que lleguen 

mensajes de un interlocutor antes de que 

se considere fuera de servicio. 

Keepalive Tiempo entre transmisiones de 

mantenimiento de conexión (keepalive). 

Local preference Configura la métrica de LOCAL_PREF. 100 

MED Configura el valor de atributo MED. 0 

Desactivado 

(predeterminado = 1) 

Desactivado 

180 segundos 

1/3 del tiempo de 

espera (hold-time) 

Configuraciones opcionales de BGP 121


Redistribuir rutas en BGP 

122 Configuraciones opcionales de BGP 

Parámetro del protocolo 

BGP Descripción Valor predeterminado 

Network Agrega entradas estáticas de red y de 

subred en BGP. BGP anuncia estas rutas 

estáticas a todos los interlocutores BGP. 

Consulte “Agregar rutas a BGP” en la 

página 124. 

Route redistribution Importa rutas a BGP desde otros 

protocolos de enrutamiento. 

Reflector Configura la instancia BGP local como 

reflector de rutas para clientes. Consulte 

“Configuración de la reflexión de rutas” 


Reject default route No tiene en cuenta las notificaciones de 

ruta predeterminada procedentes de los 

interlocutores BGP. 

Retry time Tiempo que debe transcurrir desde un 

establecimiento de sesión BGP fallido con 

un interlocutor para que se vuelva a 

intentar establecer la sesión. 

Synchronization Permite la sincronización con un 

protocolo de puerta de enlace interior, 

como OSPF o RIP. 


protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos 

de rutas en la instancia de enrutamiento de RIP de un mismo enrutador virtual: 

Rutas reconocidas por OSPF o RIP 




Cuando se configura la redistribución de rutas, primero se debe especificar un 

mapa de rutas para filtrar las rutas que se vayan a redistribuir. Para obtener más 

información sobre la creación de mapas de rutas para la redistribución, consulte el 

Capítulo 2, “Enrutamiento.” 

En el siguiente ejemplo redistribuirá en el dominio de enrutamiento BGP actual una 

ruta originada en un dominio de enrutamiento OSPF. Tanto en el ejemplo de la 

WebUI como en el de la CLI, partiremos de la base de que ya ha creado un mapa de 

rutas llamado add-ospf. 

— 

— 

Desactivado 

Las rutas 

predeterminadas de los 

interlocutores se 

agregan a la tabla de 

enrutamiento 

12 segundos 

Desactivado


WebUI 


Instance > Redist. Rules: Introduzca los siguientes datos y haga clic en Add: 

Route Map: add-ospf 

Protocol: OSPF 

Configurar una lista de acceso AS-Path 

CLI 

set vrouter trust-vr protocol bgp redistribute route-map add-ospf protocol ospf 

save 

El atributo AS-path contiene una lista de sistemas autónomos (AS) que atraviesa una 

ruta determinada. BGP añade el número de AS local al atributo AS-path cuando una 

ruta pasa por el AS. Para filtrar rutas de acuerdo con la información de AS-path es 

posible utilizar una lista de acceso AS-path. Esta lista está formada por un conjunto 

de expresiones regulares que definen la información de ruta del sistema autónomo 

e indican si las rutas que coinciden con esa información se deben permitir o 

denegar. Por ejemplo, podemos utilizar una lista de acceso AS-path para filtrar rutas 

que han pasado por un AS determinado o rutas que proceden de un AS. 

Las expresiones regulares son un método para definir la búsqueda de un patrón 

específico en el atributo AS-path. Es posible utilizar símbolos y caracteres especiales 

para construir una expresión regular. Por ejemplo, para buscar rutas que hayan 

pasado por AS 65000, puede utilizar la expresión regular _65000_ (los guiones 

bajos equivalen a un número cualquiera de caracteres delante o detrás de 65000). 

También puede utilizar la expresión regular “65000$” para buscar rutas originadas 

en AS 65000 (el signo de dólar indica el final del atributo AS-path, que podría ser el 

AS donde se originó la ruta). 

En el siguiente ejemplo configuraremos una lista de acceso AS-path para el trust-vr 

que permitirá las rutas que hayan pasado por AS 65000, pero no las que hayan sido 

originadas en AS 65000. 

WebUI 




Deny: (seleccione) 

AS Path String: 65000$ 




Permit: (seleccione) 

AS Path String: _65000_ 

CLI 

set vrouter trust-vr protocol bgp as-path-access-list 2 deny 65000$ 

set vrouter trust-vr protocol bgp as-path-access-list 2 permit _65000_ 

save 



Agregar rutas a BGP 


Para permitir que el BGP notifique las rutas de red, es necesario redistribuir las rutas 

desde el protocolo de origen al protocolo de notificación (BGP) en el mismo 

enrutador virtual (VR). También puede agregar rutas estáticas directamente en BGP. 

Si el prefijo de red es accesible desde el VR, el BGP anuncia esta ruta a los 

interlocutores sin exigir que la ruta esté redistribuida en BGP. Al agregar un prefijo 

de red en BGP, puede especificar varias opciones: 

Seleccionando “Yes” en la opción de comprobación de accesibilidad, puede 

especificar si desde el VR debe ser accesible un prefijo de red diferente antes de 

que BGP anuncie la ruta a los interlocutores. Por ejemplo, si el prefijo que desea 

que el BGP anuncie se debe alcanzar a través de una interfaz de enrutador 

específica, asegúrese de que la interfaz del enrutador sea accesible antes de 

que el BGP anuncie la red a los interlocutores. Si la interfaz del enrutador que 

especifique es accesible, BGP anuncia la ruta a sus interlocutores. Si la 

interfaz del enrutador que especifique no es accesible, la ruta no se agregará 

al BGP y, consecuentemente, no se notificará a los interlocutores del BGP. Si la 

interfaz del enrutador que especifique deja de ser accesible, el BGP retira la 

ruta a sus interlocutores. 

Seleccionando “No” en la opción de comprobación de accesibilidad, puede 

especificar que el prefijo de red sea anunciado tanto si es accesible desde el VR 

como si no. De forma predeterminada, el prefijo de red debe ser accesible 

desde el VR antes de que el BGP anuncie la ruta a los interlocutores. Si habilita 

la comprobación de accesibilidad, la ruta se puede conectar. 

Puede asignar un peso al prefijo de la red. El peso es un atributo que se 

puede asignar localmente a una ruta; no se anuncia a los interlocutores. Si 

existe más de una ruta hacia un destino, tiene prioridad la ruta con el valor 

de peso más alto. 

Puede establecer los atributos de la ruta tomándolos de un mapa de rutas 

(consulte “Configurar un mapa de rutas” en la página 40). El BGP anuncia la 

ruta con los atributos de ruta especificados en el mapa de rutas. 

Notificar ruta condicional 

En el ejemplo siguiente, agregará una ruta estática a la red 4.4.4.0/24. Especificará 

que la interfaz del enrutador 5.5.5.0/24 debe ser accesible desde el enrutador 

virtual para que el BGP pueda anunciar la ruta 4.4.4.0/24 a los interlocutores. Si no 

es posible acceder a la red 5.5.5.0.24, BGP no notificará la red 4.4.4.0/24. Consulte 

la Figura 18.

Figura 18: Ejemplo de notificación de ruta BGP condicional 


WebUI 


Instance > Networks: Introduzca los siguientes datos y haga clic en Add: 

CLI 

4.4.4.0/24 

5.5.5.0/24 

IP/Netmask: 4.4.4.0/24 

Check Reachability: 

Yes: (seleccione), 5.5.5.0/24 

set vrouter trust-vr protocol bgp network 4.4.4.0/24 check 5.5.5.0/24 

save 

Establecer el peso de la ruta 

En el ejemplo siguiente establecerá un valor de 100 para el peso de la ruta 

4.4.4.0/24. (Puede especificar un valor de peso entre 0 y 65535). 

WebUI 



IP/Netmask: 4.4.4.0/24 

Weight: 100 

CLI 

set vrouter trust-vr protocol bgp network 4.4.4.0/24 weight 100 

save 

Establecer atributos de ruta 

Internet 

La ruta a 4.4.4.0/24 sólo se anuncia si 

5.5.5.0/24 está accesible. 

En el ejemplo siguiente configurará un comando setattr del mapa de ruta que 

establecerá la métrica de la ruta en 100. A continuación, configurará una ruta 

estática en BGP que utilice el setattr del mapa de la ruta. (No es necesario 

establecer el mapa de la ruta de forma que coincida con el prefijo de red de 

la entrada de la ruta). 




WebUI 



Map Name: setattr 



Set Properties: 

Metric: (seleccione), 100 



IP/Netmask: 4.4.4.0/24 

Route Map: setattr (seleccione) 

CLI 

set vrouter trust-vr route-map name setattr permit 1 

set vrouter trust-vr route-map setattr 1 metric 100 

set vrouter trust-vr protocol bgp network 4.4.4.0/24 route-map setattr 

save 

Capacidad de enrutamiento-actualización 

La característica de enrutamiento-actualización de BGP definida en RFC 2918 ofrece 

un mecanismo de restablecimiento liviano que permite el intercambio dinámico 

de información sobre enrutamiento y solicitudes de actualización de rutas entre 

los interlocutores de BGP y la nueva notificación de la tabla de enrutamiento 

entrante y saliente. 

Las directivas de enrutamiento para un interlocutor BGP que utiliza mapas de rutas 

podrían afectar a las actualizaciones de la tabla de enrutamiento entrante o saliente 

ya que cuando se modifica una directiva de enrutamiento, la nueva directiva entra 

en vigencia únicamente después de que se restablece la sesión BGP. Una sesión 

BPG se puede borrar al efectuar un restablecimiento liviano o abrupto. 

NOTA: Un restablecimiento abrupto es perjudicial porque las sesiones BGP activas se 

interrumpen y seguidamente vuelven a restablecerse. 

Un restablecimiento liviano permite que se aplique una directiva nueva 

o modificada sin borrar una sesión BGP activa. La característica de 

enrutamiento-actualización permite que se realice un restablecimiento liviano 

por vecino y no requiere configuración previa o memoria adicional. 

Un restablecimiento liviano entrante y dinámico se utiliza para generar 

actualizaciones entrantes de un vecino. Un restablecimiento liviano saliente 

se utiliza para enviar un nuevo conjunto de actualizaciones a un vecino. Los 

restablecimientos salientes no requieren configuración previa o almacenamiento 

de las actualizaciones de la tabla de enrutamiento.


La característica de enrutamiento y actualización requiere que ambos interlocutores 

BGP notifiquen el soporte de la característica de enrutamiento-actualización en el 

mensaje de apertura (OPEN). Si el método de enrutamiento-actualización se 

negocia satisfactoriamente, cualquier interlocutor BGP puede utilizar la 

característica de enrutamiento-actualización para solicitar información 

completa sobre el enrutamiento desde el otro extremo. 

NOTA: Los administradores utilizan el comando get neighbor dir_ip para verificar si se 

negoció la capacidad de enrutamiento-actualización. El comando también 

muestra contadores, como el número de veces en que se envió o recibió la 

solicitud de enrutamiento-actualización. 

Solicitar una actualización de la tabla de enrutamiento entrante 

En este ejemplo, usted solicita que se envíe la tabla de enrutamiento entrante del 

intelocutor vecino en 10.10.10.10 al trust-vr del interlocutor BGP local utilizando el 

comando soft-in. 

NOTA: Si la característica de enrutamiento-actualización no está disponible, el comando 

lanza una excepción cuando el administrador intenta utilizarla. 

Configuración de la reflexión de rutas 

WebUI 

Esta característica no está disponible en WebUI. 

CLI 

clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-in 

Solicitar una actualización de la tabla de enrutamiento saliente 

En este ejemplo, usted envía la tabla de enrutamiento completa para trust-vr a 

través de las actualizaciones del interlocutor BGP local al interlocutor vecino en 

10.10.10.10 utilizando el comando soft-out. 

WebUI 

Esta característica no está disponible en WebUI. 

CLI 

clear vrouter trust-vr protocol bgp neighbor 10.10.10.10 soft-out 

Como un enrutador IBGP no puede notificar rutas reconocidas por un interlocutor 

IBGP a otro interlocutor IBGP (consulte “BGP externo e interno” en la página 111), 

es necesaria una malla completa de sesiones IBGP, donde cada enrutador en un AS 

BGP será interlocutor de todos los demás enrutadores del AS. 

NOTA: Una malla completa no implica que cada par de enrutadores esté conectado 

directamente, sino que cada enrutador tiene que ser capaz de establecer y 

mantener una sesión IBGP con cada uno de los demás enrutadores. 




Una configuración de malla completa en las sesiones IBGP puede presentar 

problemas de ampliación. Por ejemplo, en un AS con 8 enrutadores, cada uno de 

los 8 enrutadores necesitaría intercomunicarse con los otros 7 enrutadores, lo que 

puede calcularse con esta fórmula: 

Para un AS con 8 enrutadores, el número de sesiones IBGP de malla completa 

sería de 28. 

La reflexión de rutas es un método para solucionar el problema de escalabilidad 

IBGP (descrito en RFC 1966). Un reflector de ruta es un enrutador que entrega rutas 

reconocidas por IBGP a los vecinos IBGP especificados (clientes), eliminando así la 

necesidad de sesiones de malla completa. El reflector de rutas y sus clientes forman 

un clúster, que se puede identificar por medio de una ID de clúster. Los enrutadores 

fuera de ese clúster lo consideran una única entidad, en lugar de intercomunicarse 

de forma independiente con cada enrutador en malla completa. De esta forma se 

reduce la carga de procesamiento. Los clientes intercambian rutas con el reflector, 

mientras que éste refleja rutas entre clientes. 

El enrutador virtual (VR) local del dispositivo de seguridad puede actuar como 

reflector de rutas y se le puede asignar una identificación de clúster. Si especifica 

una identificación de clúster, la instancia de enrutamiento de BGP añade la 

identificación del clúster al atributo Cluster-List de una ruta. La ID de clúster 

contribuye a evitar la formación de bucles, puesto que la instancia de enrutamiento 

de BGP local descarta una ruta cuando su ID de clúster aparece en la lista de 

clústeres de la ruta. 

NOTA: Antes de poder configurar una ID de clúster, es necesario inhabilitar la instancia de 

enrutamiento de BGP. 

Después de configurar un reflector de rutas en el enrutador virtual local, se definen 

los clientes del reflector. Es posible especificar direcciones IP individuales o un 

grupo de interlocutores para los clientes. No es necesario llevar a cabo ninguna 

configuración en los clientes. 

En el siguiente ejemplo, el enrutador EBGP notifica el prefijo 5.5.5.0/24 al cliente 3. 

Sin reflexión de rutas, el cliente 3 notificará la ruta al dispositivo-A, pero el 

dispositivo-A no notificará esa ruta nuevamente a los clientes 1 y 2. Si configura el 

dispositivo-A como reflector de rutas y cliente 1, cliente 2 y cliente 3 como sus 

clientes, el dispositivo-A notificará las rutas recibidas del cliente 3 a los clientes 1 y 

2. Consulte Figura 19.

Figura 19: Ejemplo de reflexión de rutas BGP 

Número del 

sistema 

autónomo 

Cliente 1 


1.1.3.250 

Cliente 2 


1.1.4.250 

AS 65000 

Dispositivo-A 


del reflector de 

rutas 1.1.1.250 

Cliente 3 


1.1.1.250 

WebUI 


Instance: Introduzca los siguientes datos y haga clic en Apply: 

Route reflector: Enable 

Cluster ID: 99 

> Neighbors: Introduzca los siguientes datos y haga clic en Add: 


Remote IP: 1.1.2.250 



Remote IP: 1.1.3.250 



Remote IP: 1.1.4.250 



2.2.2.250 

Ruta de 

notificación de 

interlocutor EBGP 

a 5.5.5.0/24 


AS 65500 

> Configure (para IP remota 1.1.2.250): Seleccione Reflector Client, luego 

haga clic OK. 

> Configure (para remota IP 1.1.3.250): Seleccione Reflector Client, luego 

haga clic OK. 

> Configure (para remota IP 1.1.4.250): Seleccione Reflector Client, luego 

haga clic OK. 

CLI 

set vrouter trust-vr protocol bgp reflector 

set vrouter trust-vr protocol bgp reflector cluster-id 99 


set vrouter trust-vr protocol bgp neighbor 1.1.2.250 reflector-client 





save 

Número del 

sistema 

autónomo 



Configurar una confederación 

Figura 20: Confederaciones BGP 

AS 65000 (confederación) 

Subsistema AS 65001 

IBGP 


Al igual que la reflexión de rutas (consulte “Configuración de la reflexión de rutas” 

en la página 127), las confederaciones ofrecen otra forma de resolver el problema de 

ampliación de las mallas completas en entornos IBGP y se describen en la norma 

RFC 1965. Una confederación divide un sistema autónomo en varios AS más 

pequeños, con cada subsistema autónomo funcionando como una red IBGP de 

malla completa. Cualquier enrutador fuera de la confederación verá la 

confederación completa como un único sistema autónomo con un solo 

identificador; las redes de los subsistemas no son visibles fuera de la confederación. 

Las sesiones entre enrutadores en dos subsistemas distintos de la misma 

confederación, conocidas como sesiones EIBGP, no son más que sesiones EBGP 

entre sistemas autónomos, pero en las que los enrutadores también intercambian 

información de enrutamiento como si fueran interlocutores IBGP. La Figura 20 

ilustra las confederaciones BGP. 

EBGP 


IBGP 

Subsistemas autónomos 

EBGP 



Hay que especificar los siguientes datos por cada enrutador de una confederación: 

El número de subsistema autónomo (número de AS especificado cuando se 

crea la instancia de enrutamiento BGP). 

La confederación a la que pertenece el subsistema autónomo (número de AS 

visible para los enrutadores BGP fuera de la confederación). 

Los números de los otros subsistemas de la confederación. 

EBGP 

AS 65500 

Si la confederación admite las normas RFC 1965 (predeterminado) o RFC 3065 

NOTA: El atributo AS-Path (consulte “Atributos de ruta” en la página 111) se compone 

normalmente de una secuencia. Los ASs atravesados por la actualización de 

enrutamiento. La norma RFC 3065 permite que el atributo AS-Path incluya todos 

los AS que forman parte de la confederación local atravesados por la actualización 

de enrutamiento. 

La Figura 21 muestra el dispositivo de seguridad como un enrutador BGP en el 

subsistema autónomo 65003 que pertenece a la confederación 65000. Los otros 

subsistemas de la confederación 65000 son 65002 y 65003. 

IBGP

Figura 21: Ejemplo de configuración de confederación BGP 


Comunidades BGP 

AS 65000 (confederación) 

Subsistema AS 65002 Subsistema AS 65003 

Subsistemas autónomos 


WebUI 

Network > Routing > Virtual Routers > Edit (para trust-vr) > Create BGP 

Instance: Introduzca los siguientes datos y haga clic en Apply: 


> Confederation: Introduzca los siguientes datos y haga clic en Apply: 

Enable: (seleccione) 

ID: 65000 

Supported RFC: RFC 1965 (seleccione) 


Peer member area ID: 65001 


Peer member area ID: 65002 

> Parámetros: Seleccione BGP Enable 

CLI 


set vrouter trust-vr protocol bgp confederation id 65000 

set vrouter trust-vr protocol bgp confederation peer 65001 

set vrouter trust-vr protocol bgp confederation peer 65002 


save 

Dispositivo de seguridad 

El atributo de ruta Communities ofrece un modo de agrupar destinos (llamados 

comunidades), que un enrutador BGP podrá después utilizar para controlar las rutas 

que acepta, prefiere o redistribuye a los equipos vecinos. Un enrutador BGP puede 

agregar comunidades a una ruta (si la ruta no tiene el atributo Communities) o 

modificar las comunidades de una ruta (si ésta incluye el atributo de ruta 

Communities). Este atributo ofrece una técnica alternativa para distribuir 

información de rutas de acuerdo con los prefijos de direcciones IP o el atributo 

AS-path. Puede utilizar el atributo Communities de muchas formas, pero su 

principal objetivo es simplificar la configuración de directivas de enrutamiento en 

entornos de redes completos. 



Agregar rutas 


La norma RFC 1997 describe el funcionamiento de las comunidades BGP. Un 

administrador de AS puede asignar a una comunidad una serie de rutas que 

precisen de las mismas decisiones de enrutamiento; a esto se le llama en ocasiones 

coloreado de rutas. Por ejemplo, es posible asignar un valor de comunidad a las 

rutas con acceso a Internet y otro valor de comunidad a las rutas que no tienen 

acceso. 

Hay dos tipos de comunidades: 

Una comunidad específica está formada por un identificador de AS y un 

identificador de comunidad. Este último es definido por el administrador de 

AS. 

Una comunidad bien conocida implica un manejo especial de las rutas que 

contienen esos valores de comunidad. A continuación se muestran valores de 

comunidad bien conocida que se pueden especificar para las rutas BGP en el 

dispositivo de seguridad: 

no-export: las rutas con este atributo de ruta Communities no se notifican 

fuera de una confederación BGP. 

no-advertise: las rutas con este atributo de ruta Communities no se 

notifican a otros interlocutores BGP. 

no-export-subconfed: las rutas con este atributo de ruta Communities no 

se notifican a interlocutores EBGP. 

Puede utilizar un mapa de rutas para filtrar las rutas que coinciden con los datos de 

una lista de comunidad especificada, eliminar o asignar atributos a las rutas, 

agregar comunidades a la ruta o eliminarlas de ella. 

Por ejemplo, si un proveedor de servicios de Internet (ISP) ofrece conectividad a 

Internet a sus clientes, cada una de las rutas de esos clientes podrá recibir un 

número de comunidad específico. A continuación, esas rutas de clientes se 

notificarán a los ISPs vecinos. Las rutas de otros ISP recibirán otros números de 

comunidad y no se notificarán a los ISPc vecinos. 

La agregación es una técnica para resumir rangos de direcciones de enrutamiento 

(conocidas como rutas contribuyentes) en una sola entrada de ruta. Hay varios 

parámetros opcionales que se pueden establecer al configurar una ruta agregada. 

Esta sección contiene ejemplos de configuración de rutas agregadas. 

Agregar rutas con diferentes AS-Paths 

Al configurar una ruta agregada, puede especificar que el campo AS-Set del atributo 

de ruta AS-Path de BGP incluya las rutas AS de todas las rutas contribuyentes. Para 

especificar esto, utilice la opción AS-Set en la configuración de rutas agregadas. 

NOTA: Si utiliza la opción AS-Set con una ruta agregada, un cambio en una ruta 

contribuyente puede provocar que el atributo de la ruta agregada también cambie. 

Esto provoca que BGP vuelva a anunciar la ruta agregada con el atributo de ruta 

cambiado.


WebUI 


Instance > Aggregate Address: Introduzca los siguientes datos y haga clic en 

Apply: 

Aggregate State: Enable (seleccione) 

IP/Netmask: 1.0.0.0/8 

AS-Set: (seleccione) 

CLI 

set vrouter trust protocol bgp 

set vrouter trust protocol bgp aggregate 

set vrouter trust protocol bgp aggregate 1.0.0.0/8 as-set 

set vrouter trust protocol bgp enable 

save 

NOTA: Debe habilitar la agregación de BGP antes de habilitar BGP. 

Suprimir las rutas más específicas en actualizaciones 

Al configurar una ruta agregada, puede especificar que las rutas más específicas 

(More-Specific) sean filtradas (excluidas) de las actualizaciones de enrutamiento. 

(Un interlocutor BGP prefiere una ruta más específica, si está anunciada, a una ruta 

agregada). Puede suprimir las rutas más específicas de cualquiera de estas dos 

maneras: 

Utilice la opción Summary-Only en la configuración de rutas agregadas para 

suprimir todas las rutas más específicas. 

Utilice la opción Supress-Map en la configuración de rutas agregadas para 

suprimir las rutas especificadas en un mapa de rutas. 

En el ejemplo siguiente, el BGP anuncia la ruta agregada 1.0.0.0/8, pero las rutas 

más específicas son excluidas mediante filtro de las actualizaciones de rutas 

salientes. 

WebUI 



Apply: 



Suppress Option: Summary-Only (seleccione) 

CLI 

set vrouter trust protocol bgp aggregate 1.0.0.0/8 summary-only 

save 




En el ejemplo siguiente, filtrará las rutas del rango 1.2.3.0/24 para que sean 

eliminadas de las actualizaciones que incluyan la ruta agregada 1.0.0.0/8. Para ello, 

primero configurará una lista de accesos que especifique las rutas a filtrar 

(1.2.3.0/24). A continuación, configurará un mapa de rutas ‘noadvert’ para permitir 

las rutas 1.2.3.0/24. Después configurará una ruta agregada 1.0.0.0/8 y especificará 

el mapa de ruta ‘noadvert’ como opción de supresión para las actualizaciones 

salientes. 

WebUI 





IP/Netmask: 1.2.3.0/24 




Map Name: noadvert 




Access List (seleccione), 1 (seleccione) 



Apply: 



Suppress Option: Route-Map (seleccione), noadvert (seleccione) 

CLI 


set vrouter trust-vr route-map name noadvert permit 2 

set vrouter trust-vr route-map noadvert 2 match ip 1 

set vrouter trust protocol bgp aggregate 1.0.0.0/8 suppress-map noadvert 

save 

Seleccionar rutas para el atributo Path 

Al configurar una ruta agregada, puede especificar qué rutas deben o no deben ser 

utilizadas para construir el atributo de ruta AS-Path del BGP de la ruta agregada. 

Utilice la opción Advertise-Map en la configuración de rutas agregadas para 

seleccionar las rutas. Puede utilizar esta opción con la opción AS-Set para 

seleccionar rutas anunciadas con el atributo AS-Set. 

En el ejemplo siguiente, configurará una ruta agregada 1.0.0.0/8 que se notificará 

con el atributo AS-Set. El atributo AS-Set anunciado consiste en todas las rutas más 

específicas que caigan en el rango de prefijo 1.5.0.0/16, pero no las rutas que 

caigan en el rango de prefijo 1.5.6.0/24; configurará los rangos de prefijo a incluir y 

excluir en el mapa de rutas “advertset”.


WebUI 





IP/Netmask: 1.5.6.0/24 

Action: Deny (seleccione) 





IP/Netmask: 1.5.0.0/16 




Map Name: advertset 




Access List (seleccione), 3 (seleccione) 



Apply: 



Advertise Map: advertset (seleccione) 

CLI 

set vrouter trust-vr access-list 3 deny ip 1.5.6.0/24 888 


set vrouter trust-vr route-map name advertset permit 4 

set vrouter trust-vr route-map advertset 4 match ip 3 

set vrouter trust protocol bgp aggregate 1.0.0.0/8 advertise-map advertset 

save 

Cambiar atributos de una ruta agregada 

Al configurar una ruta agregada, puede establecer sus atributos basándose en un 

mapa de ruta especificado. En el ejemplo siguiente, configurará una ruta agregada 

1.0.0.0/8 que se notificará con la métrica 1111 en las actualizaciones salientes. 

WebUI 



Map Name: aggmetric 



Set Properties: (seleccione) 

Metric: 1111 






Apply: 



Attribute Map: aggmetric (seleccione) 

CLI 

set vrouter trust-vr route-map name aggmetric permit 5 

set vrouter trust-vr route-map aggmetric 5 metric 1111 

set vrouter trust protocol bgp aggregate 1.0.0.0/8 attribute-map aggmetric 

save

Capítulo 6 

Enrutamiento multicast 

Vista general 

Este capítulo presenta los conceptos básicos sobre el enrutamiento multicast. 

Contiene las siguientes secciones: 

“Vista general” en esta página 

“Direcciones multicast” en la página 138 

“Reenviar rutas inversas” en la página 138 

“Enrutamiento multicast en dispositivos de seguridad” en la página 139 

“Tabla de enrutamiento multicast” en la página 139 

“Configurar una ruta multicast estática” en la página 140 

“Listas de acceso” en la página 141 

“Configurar el encapsulado genérico de enrutamiento en interfaces de 

túnel” en la página 141 

“Directivas multicast” en la página 143 

Las empresas utilizan el enrutamiento multicast para transmitir tráfico, como 

secuencias de datos o vídeo, desde un origen a un grupo de receptores 

simultáneamente. Cualquier host puede ser un origen, y los receptores pueden 

estar en cualquier punto de Internet. 

El enrutamiento IP multicast proporciona un método eficiente para reenviar tráfico 

a múltiples hosts, porque los enrutadores habilitados para multicast transmiten 

tráfico multicast solamente a los hosts que desean recibirlo. Los hosts deben 

señalizar su interés por recibir datos multicast y deben unirse a un grupo multicast 

para recibir los datos. Los enrutadores habilitados para multicast reenvían tráfico 

multicast solamente a los receptores interesados en recibirlo. 

Vista general 137


Direcciones multicast 

Reenviar rutas inversas 


Los entornos de enrutamiento multicast requieren los siguientes elementos para 

reenviar información multicast: 

Un mecanismo entre hosts y enrutadores para comunicar información de 

miembros del grupo multicast. Los dispositivos de seguridad admiten las 

versiones 1, 2 y 3 de IGMP (Internet Group Management Protocol). Los 

enrutadores y hosts utilizan IGMP sólo para transmitir la información de 

miembros, no para reenviar ni enrutar tráfico multicast. (Para obtener 

información sobre IGMP, consulte el Capítulo 7, “Protocolo IGMP”). 

Un protocolo de enrutamiento multicast para alimentar la tabla de rutas 

multicast y reenviar datos a los hosts a través de la red. Los dispositivos de 

seguridad de Juniper Networks admiten Protocol Independent Multicast - 

Sparse Mode (PIM-SM) y Protocol Independent Multicast - Source Specific 

Multicast (PIM-SSM). (Para obtener información sobre PIM-SM y PIM-SSM, 

consulte el Capítulo 8, “Multicast independiente de protocolo (PIM)”). 

Alternativamente, puede utilizar la característica IGMP Proxy para reenviar 

tráfico multicast sin sobrecargar la CPU con la ejecución de un protocolo de 

enrutamiento multicast. (Para obtener información sobre IGMP Proxy, consulte 

“Proxy de IGMP” en la página 155). 

Las siguientes secciones presentan los conceptos básicos utilizados en el 

enrutamiento multicast. 

Cuando un origen envía tráfico multicast, la dirección de destino es una dirección 

del grupo multicast. Las direcciones del grupo multicast son direcciones de Clase D 

desde la 224.0.0.0 hasta la 239.255.255.255. 

Cuando un enrutador multicast recibe paquetes multicast, utiliza un proceso 

denominado reenvío por rutas inversas (“reverse path forwarding ” o RPF) para 

comprobar la validez de los paquetes. Antes de crear una ruta multicast, el 

enrutador realiza operaciones de búsqueda de rutas en la tabla de rutas unicast para 

comprobar si la interfaz en la cual recibió el paquete (interfaz de entrada) es la 

misma interfaz que debe utilizar para enviar los paquetes de vuelta al remitente. Si 

lo es, el enrutador crea la entrada de la ruta multicast y reenvía el paquete al 

enrutador del salto siguiente. Si no lo es, el enrutador descarta el paquete. Los 

enrutadores multicast no efectúan esta comprobación de RPF para rutas estáticas. 

La Figura 22 muestra el dispositivo de seguridad y el flujo de procesamiento de 

paquetes multicast.

Figura 22: Reenvío por rutas inversas 

Origen 

3.3.3.6 

enrutador 

externo 

1.1.1.250 

1. El paquete multicast 

procedente de 1.1.1.250 

llega a ethernet1. 

ethernet1 

1.1.1.1 

Enrutamiento multicast en dispositivos de seguridad 

Tabla de enrutamiento multicast 

2. El dispositivo de 

seguridad comprueba 

si la interfaz de 

entrada coincide con 

la de salida para los 

paquetes destinados 

al remitente. 

Consulta en la tabla de rutas 

DST IF GATE 

0.0.0.0 eth1 --- 

10.1.1.0 eth3 --- 

1.1.1.0 eth1 --- 

ethernet3 

10.1.1.1 

Capítulo 6: Enrutamiento multicast 

Los dispositivos de seguridad de Juniper Networks tienen dos enrutadores virtuales 

predefinidos (VRs): trust-vr y untrust-vr. Cada enrutador virtual es un componente 

de enrutamiento independiente, con sus propias tablas de rutas unicast y 

multicast. (Para obtener información sobre tablas de rutas unicast, consulte el 

Capítulo 1, “Enrutamiento estático”). Cuando el dispositivo de seguridad recibe 

un paquete multicast entrante, realiza una consulta de rutas a través de la tabla 

de rutas multicast. 

La tabla de rutas multicast se alimentan con las rutas estáticas multicast o las rutas 

aprendidas a través de protocolo de enrutamiento multicast. El dispositivo de 

seguridad utiliza la información de la tabla de rutas multicast para reenviar tráfico 

multicast. Los dispositivos de seguridad mantienen una tabla de enrutamiento 

multicast para cada protocolo de enrutamiento de un enrutador virtual. 

La tabla de enrutamiento multicast contiene información específica sobre el 

protocolo de enrutamiento más la información siguiente: 

Cada entrada comienza con el estado de reenvío. El estado de reenvío puede 

tener uno de los siguientes formatos: (*, G) o (S, G). El formato (*, G) se 

denomina entrada “asterisco coma G”, donde el * se refiere a cualquier origen 

y G es una dirección de grupo multicast específica. El formato (S, G) se 

denomina entrada “S coma G”, donde S es la dirección IP de origen y G es la 

dirección del grupo multicast. 

Las interfaces de sentido ascendente y descendente. 

El vecino de reenvío por rutas inversas (RPF). 

3a. En caso afirmativo, 

enviar los paquetes 

multicast al destino. 

3b. En caso negativo, descartar el paquete. 

Enrutamiento multicast en dispositivos de seguridad 139


140 Enrutamiento multicast en dispositivos de seguridad 

A continuación se incluye un ejemplo de una tabla de enrutamiento multicast 

PIM-SM en el enrutador virtual trust-vr: 

trust-vr - PIM-SM routing table 

----------------------------------------------------------------------------- 

Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G 

Forward - F, Null - N , Negative Cache - E, Local Receivers - L 

SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S 

Turnaround Router - K 

----------------------------------------------------------------------------- 

Total PIM-SM mroutes: 2 

(*, 236.1.1.1) RP 20.20.20.10 00:06:24/- Flags: LF 

Zone : Untrust 

Upstream : ethernet1/2 State : Joined 

RPF Neighbor : local Expires : - 

Downstream : 

ethernet1/2 00:06:24/00:02:57 Join 0.0.0.0 FC 

(20.20.20.200/24, 236.1.1.1) 00:06:24/00:00:36 Flags: TXLF Register Prune 


Proxy register : (10.10.10.1, 238.1.1.1) of zone Trust 



Downstream : 

ethernet1/2 00:06:24/- Join 236.1.1.1 20.20.20.200 FC 

Configurar una ruta multicast estática 

Puede definir una ruta multicast estática desde un origen a un grupo multicast (S, G) 

o utilizar comodines tanto para el origen como para el grupo multicast, o para 

ambos. Las rutas multicast estáticas se utilizan típicamente para admitir el reenvío 

de datos multicast desde hosts pertenecientes a interfaces en modo “IGMP router 

proxy” a los enrutadores en sentido ascendente de las interfaces en el modo host 

de IGMP. (Para obtener información sobre IGMP Proxy, consulte “Proxy de IGMP” 

en la página 155). También puede utilizar rutas multicast estáticas para permitir el 

reenvío multicast entre dominios. Puede crear una ruta estática para una pareja (S, 

G) con cualquier interfaz de entrada o de salida. También puede crear una ruta 

estática y definir mediante comodines el origen o el grupo multicast, o ambos, 

indicando 0.0.0.0. Al configurar una ruta estática, también puede especificar la 

dirección del grupo multicast original y una dirección diferente para el grupo 

multicast en la interfaz saliente. 

En este ejemplo configurará una ruta multicast estática desde un origen con la 

dirección IP 20.20.20.200 hasta el grupo multicast 238.1.1.1. Configure el 

dispositivo de seguridad para traducir el grupo multicast de 238.1.1.1 a 238.2.2.1 

en la interfaz saliente. 

WebUI 

Network > Routing > MCast Routing > New: Introduzca los siguientes datos y 


Source IP: 20.20.20.200 

MGroup: 238.1.1.1 

Incoming Interface: ethernet1 (seleccione) 

Outgoing Interface: ethernet3 (seleccione) 

Translated MGroup: 238.2.2.1

Listas de acceso 

CLI 


set vrouter trust-vr mroute mgroup 238.1.1.1 source 20.20.20.200 iif ethernet1 

oif ethernet3 out-group 238.2.2.1 

save 

Una lista de acceso es una lista de declaraciones con la que se compara la ruta. 

Cada declaración especifica la dirección/máscara IP de un prefijo de red y el estado 

de reenvío (acepta o rechaza la ruta). En el enrutamiento multicast, una instrucción 

también puede contener una dirección de grupo multicast. En el enrutamiento 

multicast, usted crea listas de accesos para permitir tráfico multicast a 

determinados grupos o hosts multicast. Por lo tanto, el estado de la acción o del 

reenvío es siempre Permit. No se pueden crear listas de accesos para denegar 

ciertos grupos o hosts. (Para obtener información adicional sobre listas de accesos, 

consulte “Configurar una lista de acceso” en la página 42). 

Configurar el encapsulado genérico de enrutamiento en interfaces de túnel 

El encapsulado de paquetes multicast en paquetes unicast es un método común 

para transmitir paquetes multicast a través de una red no preparada para multicast 

y a través de túneles IPSec. La versión 1 del protocolo GRE (encapsulado genérico 

de enrutamiento, Generic Routing Encapsulation) es un mecanismo que encapsula 

cualquier tipo de paquete dentro de paquetes unicast IPv4. Los dispositivos de 

seguridad de Juniper Networks admiten GREv1 para encapsular paquetes IP en 

paquetes unicast IPv4. Para obtener información adicional sobre GRE, consulte 

RFC 1701, Generic Routing Encapsulation (GRE). 

En los dispositivos de seguridad, la encapsulación GRE se habilita en interfaces 

de túnel. 

NOTA: Puede habilitar GRE en una interfaz de túnel asociada a una interfaz de bucle 

invertido, siempre que la interfaz de bucle invertido se encuentre en la misma 

zona que la interfaz saliente. Para obtener más información sobre interfaces de 

bucle invertido, consulte “Interfaces de bucle invertido (loopback)” en la 

página 2-60. 

Si desea transmitir paquetes multicast a través de un túnel VPN IPSec entre un 

dispositivo de seguridad de Juniper Networks y un dispositivo o enrutador de otro 

fabricante, debe habilitar GRE. 

Los dispositivos de seguridad tienen limitaciones específicas de cada plataforma en 

cuanto al número de interfaces salientes a través de las cuales se pueden transmitir 

paquetes multicast. En grandes entornos de VPN radiales (“hub-and-spoke” o “cubo 

y radios”), en los que el dispositivo de seguridad es el cubo, se puede evitar esta 

limitación creando un túnel GRE entre el enrutador de sentido ascendente del 

dispositivo de seguridad situado en el “cubo” y los dispositivos de seguridad 

situados en los radios. 

Enrutamiento multicast en dispositivos de seguridad 141


Figura 23: GRE en interfaces de túnel 

Dispositivo-1 

142 Enrutamiento multicast en dispositivos de seguridad 

En la Figura 23, el enrutador-A se encuentra en sentido ascendente con respecto al 

Dispositivo-A. El enrutador-A tiene dos túneles GRE que terminan en Dispositivo-1 y 

Dispositivo-2. El Dispositivo-A está conectado al Dispositivo-1 y al Dispositivo-2 a 

través de túneles VPN. Antes de transmitir paquetes multicast, Enrutador-A primero 

los encapsula en paquetes unicast IPv4. El Dispositivo-A recibe estos paquetes 

como paquetes unicast y los envía al Dispositivo-1 y al Dispositivo-2. 

Dispositivo A 

Receptores 

Enrutador-A 

Origen 

Internet 

Túneles GRE 

Túneles VPN 

con GRE 

En este ejemplo, configurará la interfaz de túnel en Dispositivo-1. Ejecutará los 

pasos siguientes: 

1. Crear la interfaz tunnel.1 y asociarla a ethernet3 y a la zona Untrust en trust-vr. 

2. Habilitar la encapsulación de GRE en el tunnel.1. 

Receptores 

3. Especificar los puntos terminales local y remoto del túnel GRE. 

Dispositivo-2 

Este ejemplo muestra la configuración de GRE solamente para el dispositivo de 

seguridad. (Para obtener información sobre VPN, consulte el Volumen 5: 

Redes privadas virtuales.)

Directivas multicast 


WebUI 

Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga 


Tunnel Interface Name: tunnel.1 

Zone (VR): Untrust (trust-vr) 

Unnumbered: (seleccione) 

Interfaz: ethernet3 (trust-vr) 

Network > Interfaces > Tunnel (tunnel.1): Introduzca los siguientes datos y 

haga clic en Apply: 

Encap: GRE (seleccione) 

Local Interface: ethernet3 

Destination IP: 3.3.3.1 

CLI 


set interface tunnel.1 ip unnumbered interface ethernet3 

set interface tunnel.1 tunnel encap gre 

set interface tunnel.1 tunnel local-if ethernet3 dst-ip 3.3.3.1 

save 

De forma predeterminada, los dispositivos de seguridad de Juniper Networks no 

permiten que el tráfico de control multicast, como mensajes IGMP o PIM, pase por 

dispositivos de seguridad. Para permitir tráfico de control multicast entre zonas, 

debe configurar una directiva multicast que especifique lo siguiente: 

Origen: La zona desde la que se inicia el tráfico 

Destino: La zona a la que se envía el tráfico 

Grupo Multicast: El grupo multicast cuyo tráfico de control multicast desea que 

el dispositivo de seguridad permita. Puede especificar uno de los siguientes: 

La dirección IP del grupo multicast 

Una lista de accesos que defina al grupo (o grupos) multicast a los que los 

hosts puedan unirse 

La palabra clave any, para permitir el tráfico de control multicast para 

cualquier grupo multicast 

Tráfico de control multicast: El tipo de mensaje de control multicast: mensajes 

IGMP o mensajes PIM. (Para obtener información sobre IGMP, consulte el 

Capítulo 7, “Enrutamiento multicast”. Para obtener información sobre PIM, 

consulte el Capítulo 8, “Enrutamiento multicast”). 

Directivas multicast 143


144 Directivas multicast 

Además, puede especificar lo siguiente: 

Dirección multicast traducida: El dispositivo de seguridad puede traducir una 

dirección del grupo multicast de una zona interna a una dirección distinta en la 

interfaz de salida. Para traducir una dirección de grupo, debe especificar tanto 

la dirección multicast original como la dirección del grupo multicast traducida 

en la directiva multicast. 

Bi-direccional: Puede crear una directiva bidireccional para aplicarla a ambos 

sentidos del tráfico. 

NOTA: Las directivas multicast solamente controlan el flujo del tráfico de control 

multicast. Para permitir el tráfico de datos (tanto unicast como multicast) entre 

zonas, debe configurar directivas de cortafuegos. (Para obtener información sobre 

directivas, consulte el Volumen 2: Fundamentos.) 

Las directivas multicast no se ordenan como las directivas de cortafuegos. De este 

modo, la directiva multicast más reciente no sobrescribe ninguna anterior en caso 

de conflicto. En lugar de ello, el dispositivo de seguridad selecciona la coincidencia 

más larga para resolver cualquier conflicto, igual que hacen otros protocolos de 

enrutamiento. Si encuentra una subred más pequeña que cumpla el criterio de 

búsqueda, utilizará esa directiva. 

NOTA: Para ver un ejemplo de configuración de una directiva multicast para mensajes 

IGMP, consulte “Crear una directiva de grupo multicast para IGMP” en la 

página 160. Para ver un ejemplo de configuración de una directiva multicast para 

mensajes PIM, consulte “Definir de una directiva de grupo multicast para PIM-SM” 

en la página 183.

Capítulo 7 

Protocolo IGMP 

Este capítulo describe el protocolo multicast Internet Group Management 

Protocol (IGMP) en dispositivos de seguridad de Juniper Networks. Contiene 

las siguientes secciones: 


“Hosts” en la página 147 

“Enrutadores multicast” en la página 148 

“IGMP en dispositivos de seguridad” en la página 149 

“Habilitar y deshabilitar IGMP en interfaces” en la página 149 

“Configurar una lista de accesos para grupos aceptados” en la página 150 

“Configurar IGMP” en la página 151 

“Verificar una configuración de IGMP” en la página 153 

“Parámetros operativos de IGMP” en la página 154 

“Proxy de IGMP” en la página 155 

“Configurar el proxy de IGMP” en la página 158 

“Configurar un proxy de IGMP en una interfaz” en la página 158 

“Directivas Multicast para configuraciones de IGMP y proxy de IGMP” en la 

página 160 

“Configurar un proxy del remitente de IGMP” en la página 167 

145


Vista general 


El protocolo multicast Internet Group Management Protocol (IGMP) se utiliza entre 

hosts y enrutadores para establecer y mantener miembros de grupos multicast en 

una red. Los dispositivos de seguridad son compatibles con las siguientes versiones 

de IGMP: 

IGMPv1, según lo definido en RFC 1112, Host Extensions for IP Multicasting, 

define las operaciones básicas para miembros de grupos multicast. 

IGMPv2, según lo definido en RFC 2236, Internet Group Management Protocol, 

Versión 2, amplía la funcionalidad de IGMPv1. 

IGMPv3, según lo definido en RFC 3376, Internet Group Management Protocol, 

Versión 3, permite el filtrado de orígenes. Los hosts que ejecutan IGMPv3 

indican a qué grupos multicast desean unirse y desde qué orígenes esperan 

recibir tráfico multicast. IGMPv3 se requiere cuando “Protocol Independent 

Multicast” se ejecuta en el modo “Source-Specific Multicast” (PIM-SSM). (Para 

obtener información sobre PIM-SSM, consulte “PIM-SSM” en la página 180). 

IGMP proporciona un mecanismo para que hosts y enrutadores puedan mantener 

los miembros de grupos multicast. Los protocolos de enrutamiento multicast, 

como PIM, procesan la información de miembros IGMP, crean entradas en la tabla 

de enrutamiento multicast y reenvían tráfico multicast a los hosts a través de la red.

Hosts 

Figure 24: Ejemplo de IGMP 

Origen 

Internet 

Capítulo 7: Protocolo IGMP 

Los protocolos de 

enrutamiento multicast, 

tales como PIM-SM, 

alimentan la tabla de 

rutas multicast y 

reenvían datos a los 

hosts de toda la red. 

Hosts y enrutadores 

utilizan IGMP para 

intercambiar información 

de miembros del grupo 

multicast. 

Las secciones siguientes explican los diversos tipos de mensajes IGMP que hosts 

y enrutadores intercambian para mantener actualizada la información de 

miembro de grupos a través de la red. Los hosts y los enrutadores que ejecutan 

versiones más recientes de IGMP pueden convivir con los que ejecuten versiones 

de IGMP anteriores. 

Los hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse como 

miembros en esos grupos. Los enrutadores aprenden cuáles hosts son miembros de 

grupos multicast al escuchar estos mensajes IGMP en sus redes locales. La Tabla 15 

describe los mensajes de IGMP que los hosts envían y el destino de los mensajes. 

Vista general 147


Enrutadores multicast 


Tabla 15: Mensajes de host IGMP 

Versión de 

IGMP Mensaje de IGMP Destino 

IGMPv1 y v2 Un host envía un informe de miembro la primera vez que se 

une a un grupo multicast y periódicamente, una vez que ya 

es miembro del grupo. El informe de miembros indica a qué 

grupo multicast desea unirse el host. 

IGMPv3 Un host envía un informe de miembro la primera vez que se 

une a un grupo multicast y periódicamente, una vez que ya 

es miembro del grupo. El informe de miembro contiene la 

dirección multicast del grupo, el modo de filtrado, que es 

“include” o “exclude”, y una lista de orígenes. Si el modo de 

filtrado es include, los paquetes procedentes de las 

direcciones en la lista de origen se aceptan. Si el modo de 

filtrado es exclude, los paquetes procedentes de orígenes 

distintos de los de la lista son aceptados. 

IGMPv2 Un host envía un mensaje “Leave Group” cuando desea dejar 

el grupo multicast y dejar de recibir datos para ese grupo. 

Dirección IP del 

grupo multicast al 

que el host desea 

unirse 

224.0.0.22 

“all routers group” 

(224.0.0.2) 

Los enrutadores utilizan IGMP para aprender qué grupos multicast tienen miembros 

en su red local. Cada red selecciona un enrutador designado, denominado el 

consultador. Generalmente, hay un “consultador” por cada red. El consultador envía 

mensajes IGMP a todos los hosts de la red para solicitar información de miembros 

de grupo. Cuando los hosts responden con sus informes de miembros, los 

enrutadores toman la información de estos mensajes y actualizan su lista de 

miembros de grupos en cada interfaz. Los enrutadores IGMPv3 mantienen una lista 

que incluye la dirección del grupo multicast, el modo de filtrado (include o exclude) 

y la lista de orígenes. 

NOTA: Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador 

de una red. Con IGMPv2 y v3, el consultador es la interfaz de enrutador con la 

dirección IP más baja de la red. 

La Tabla 16 describe los mensajes que un contestador envía y los destinos.

Tabla 16: Mensajes del consultador IGMP 

IGMP en dispositivos de seguridad 

Versión 

de IGMP Mensaje de IGMP Destino 

IGMPv1, 

v2 y v3 

IGMPv2 y 

v3 


En algunos enrutadores, IGMP se habilita automáticamente cuando se habilita un 

protocolo de enrutamiento multicast. En dispositivos de seguridad de Juniper 

Networks, debe habilitar explícitamente IGMP y un protocolo de enrutamiento 

multicast. 

Habilitar y deshabilitar IGMP en interfaces 

El consultador envía periódicamente consultas generales 

para solicitar la información de miembros de grupos. 

El consultador envía una consulta específica de grupo 

cuando recibe un mensaje Leave Group de IGMPv2 o un 

informe de miembros IGMPv3 que indique un cambio en 

los miembros del grupo. Si el consultador no recibe 

ninguna respuesta en un plazo especificado, asume que 

no hay miembros para ese grupo en su red local y deja de 

reenviar tráfico multicast a ese grupo. 

IGMPv3 El consultador envía una consulta group-and-source para 

verificar si hay algún receptor para ese grupo y origen 

concretos. 

De forma predeterminada, IGMP está inhabilitado en todas las interfaces. Debe 

habilitar IGMP en el modo enrutador en todas las interfaces que estén conectadas a 

hosts. En el modo de enrutador, el dispositivo de seguridad ejecuta IGMPv2 de 

forma predeterminada. Puede cambiar el ajuste predeterminado y ejecutar 

IGMPv1, IGMPv2 y v3, o solamente IGMPv3. 

Habilitar IGMP en una interfaz 

En este ejemplo, habilitará IGMP en modo enrutador en la interfaz ethernet1 que 

está conectada con un host. 

WebUI 

Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los 


IGMP Mode: Router (seleccione) 

Protocol IGMP: Enable (seleccione) 

CLI 

set interface ethernet1 protocol igmp router 

set interface ethernet1 protocol igmp enable 

save 

grupo “all hosts” 

(224.0.0.1) 

El grupo multicast que el 

host está abandonando. 

El grupo multicast que el 

host está abandonando. 

IGMP en dispositivos de seguridad 149


150 IGMP en dispositivos de seguridad 

Inhabilitar IGMP en una interfaz 

En este ejemplo, inhabilitará IGMP en la interfaz ethernet1. El dispositivo de 

seguridad mantiene la configuración de IGMP, pero la inhabilita. 

WebUI 

Network > Interfaces > Edit (para ethernet1) > IGMP: Desactive Protocol 

IGMP Enable, luego haga clic en Apply. 

CLI 

unset interface ethernet1 protocol igmp enable 

save 

Para borrar la configuración de IGMP ejecute el comando unset interface interfaz 

protocol igmp router. 

Configurar una lista de accesos para grupos aceptados 

Hay algunos aspectos de seguridad que debe considerar al ejecutar IGMP. Los 

usuarios malévolos pueden ejecutar consultas IGMP, informes de miembros y dejar 

mensajes. En los dispositivos de seguridad, puede restringir el tráfico multicast sólo 

a los hosts y grupos multicast conocidos. Además, también puede especificar los 

consultadores permitidos en su red. Estas restricciones se establecen creando listas 

de accesos y aplicándolas a una interfaz. 

Una lista de accesos es una lista secuencial de instrucciones que especifican una 

dirección IP y un estado de reenvío (permitir o denegar). En IGMP, las listas de 

accesos siempre deben tener un estado de reenvío “permit” y deben especificar 

uno de los siguientes: 

grupos multicast a los que los hosts pueden unirse 

hosts desde los que la interfaz del enrutador IGMP puede recibir 

mensajes IGMP 

Consultadores desde los que la interfaz del enrutador de IGMP puede 

recibir mensajes IGMP 

Después de crear una lista de accesos, aplíquela a una interfaz. Una vez aplicada 

una lista de accesos a una interfaz, ésta acepta tráfico solamente de los indicados 

en su lista de accesos. Por lo tanto, para denegar tráfico procedente de un 

determinado grupo, host o consultador multicast, simplemente exclúyalo de la lista 

de accesos. (Para obtener información adicional sobre listas de accesos, consulte 

“Configurar una lista de acceso” en la página 42). 

En este ejemplo, se crea una lista de acceso en el trust-vr. La lista de accesos 

especifica lo siguiente: 

La identificación de la lista de accesos es 1 

Permitir el tráfico a un grupo multicast 224.4.4.1/32 

El número secuencial de esta instrucción es 1 

Después de crear la lista de accesos, permita que los hosts en ethernet1 se unan al 

grupo multicast especificado en la lista de accesos.

Configurar IGMP 


WebUI 

Network > Routing > Virtual Routers > Access List: > New (para trust-vr): 


CLI 



IP/Netmask: 224.4.4.1/32 




Accept Group’s Access List ID: 1 


set interface ethernet1 protocol igmp accept groups 1 

save 

Para ejecutar IGMP en un dispositivo de seguridad de Juniper Networks, 

simplemente habilítelo en modo enrutador en las interfaces que están conectadas 

directamente con los hosts. Para garantizar la seguridad de la red, utilice las listas 

de accesos para limitar el tráfico multicast sólo a grupos, hosts y enrutadores 

multicast conocidos. 

En la Figura 25, los hosts de la zona Trust protegida por el dispositivo de seguridad 

NS1 son receptores potenciales del flujo multicast procedente del origen en la zona 

Untrust. Las interfaces ethernet1 y ethernet2 están conectadas con los hosts. El 

origen multicast está transmitiendo datos al grupo multicast 224.4.4.1. Realice los 

pasos siguientes para configurar IGMP en las interfaces que están conectadas con 

los hosts: 

1. Asigne direcciones IP a las interfaces y asócielas a zonas. 

2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32. 

3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2. 

4. Restrinja las interfaces (ethernet1 y ethernet2) a recibir mensajes IGMP para el 

grupo multicast 224.4.4.1/32. 



Figura 25: Ejemplo de configuración de IGMP 

Origen 

Enrutador 

designado 

de origen 

Zona Untrust 

WebUI 


ethernet3 

1.1.1.1/24 

NS1 

1. Zonas e interfaces 

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y 


Zone Name: Trust 








Zone Name: Untrust 







IP/Netmask: 224.4.4.1/32 


3. IGMP 






ethernet1 

10.1.1.1/24 

ethernet 2 

10.1.2.1/24 

Zona Trust 


siguientes datos y haga clic en Apply:

CLI 

Verificar una configuración de IGMP 





set interface ethernet1 zone trust 





set vrouter trust access-list 1 permit ip 224.4.4.1/32 1 

3. IGMP 







save 


Después de configurar IGMP en ethernet1 y ethernet2, debe configurar un 

protocolo de enrutamiento multicast, como PIM, para reenviar tráfico multicast. 

(Para obtener información sobre PIM, consulte el Capítulo 8, “Multicast 

independiente de protocolo (PIM)”). 

Para verificar la conectividad y asegurarse de que IGMP se esté ejecutando 

correctamente, existe una serie de comandos exec y get. 

Para enviar consultas generales o específicas de grupos a una interfaz en 

particular, utilice el comando exec igmp interface interfaz query. Por ejemplo, 

para enviar una consulta general desde ethernet2, introduzca: 

exec igmp interface ethernet2 query 

Para enviar una consulta específica de grupo desde ethernet2 al grupo multicast 

224.4.4.1, introduzca: 

exec igmp interface ethernet2 query 224.4.4.1 

Para enviar un informe de miembros de una interfaz en particular, utilice el 

comando exec igmp interface interfaz report. Por ejemplo, para enviar un 

informe de miembros desde ethernet2 introduzca: 

exec igmp interface ethernet2 report 224.4.4.1 

Puede revisar los parámetros IGMP de una interfaz ejecutando el comando 

siguiente: 

ns-> get igmp interface 

Interface trust support IGMP version 2 router. It is enabled. 

IGMP proxy is disabled. 

Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. 




There are 0 multicast groups active. 

Inbound Router access list number: not set 

Inbound Host access list number: not set 

Inbound Group access list number: not set 

query-interval: 125 seconds 

query-max-response-time 10 seconds 

leave-interval 1 seconds 

last-member-query-interval 1 seconds 

Este resultado detalla la siguiente información: 

Versión de IGMP (2) 

Estado del consultador (I am the querier). 

Parámetros Set y unset 

Para mostrar información sobre grupos multicast, ejecute el siguiente comando CLI: 

ns-> get igmp group 

Parámetros operativos de IGMP 

total groups matched: 1 

multicast group interface last reporter expire ver 

*224.4.4.1 trust 0.0.0.0 ------ v2 

Al habilitar IGMP en modo de enrutador en una interfaz, la interfaz se inicia como 

consultador. Como consultador, la interfaz utiliza ciertos ajustes predeterminados 

que usted puede modificar. Cuando establece parámetros en este nivel, esto afecta 

únicamente la interfaz que especifica. La Tabla 17 detalla los parámetros de interfaz 

del contestador de IGMP y sus valores predeterminados. 

Tabla 17: Parámetros de la interfaz del consultador de IGMP y valores predeterminados 

Parámetros de 

la interfaz 

IGMP Descripción 

General query 

interval 

Maximum 

response time 

Last Member 

Query Interval 

El intervalo en el cual la interfaz consultadora envía 

consultas generales al grupo “all hosts” (224.0.0.1). 

El tiempo máximo entre una consulta general y la 

respuesta procedente del host. 

El intervalo en el que la interfaz envía una consulta 

específica de grupo. Si no recibe ninguna respuesta 

después de la segunda consulta específica de grupo, 

asume que no hay más miembros en ese grupo en su red 

local. 

Valor 


125 segundos 

10 segundos 

1 segundo 

De forma predeterminada, un enrutador habilitado para IGMPv2/v3 solamente 

acepta paquetes IGMP con la opción router-alert IP, y descarta los paquetes que no 

tienen esta opción. Los paquetes IGMPv1 no tienen esta opción y, por lo tanto, un 

dispositivo de seguridad que ejecuta IGMPv2/v3 descarta los paquetes IGMPv1 de 

forma predeterminada. Puede configurar el dispositivo de seguridad para dejar de

Proxy de IGMP 


comprobar si los paquetes IGMP contienen la opción router-alert IP y aceptar todos 

los paquetes IGMP, haciéndolo compatible con versiones anteriores de enrutadores 

IGMPv1. Por ejemplo, para permitir que la interfaz ethernet1 acepte todos los 

paquetes IGMP: 

WebUI 



CLI 

Packet Without Router Alert Option: Permit (seleccione) 

set interface ethernet1 protocol igmp no-check-router-alert 

save 

Los enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; no 

reenvían mensajes IGMP más allá de su red local. Puede permitir que las interfaces 

de un dispositivo de seguridad de Juniper Networks reenvíen mensajes IGMP un 

salto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP 

permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el 

origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast. 

Al ejecutar IGMP proxy en un dispositivo de seguridad, las interfaces conectadas 

con los hosts funcionan como enrutadores y las conectadas con enrutadores de 

niveles superiores funcionan como hosts.Típicamente, las interfaces de hosts y 

enrutadores están en zonas diferentes. Para permitir que los mensajes de IGMP 

pasen entre zonas, debe configurar una directiva multicast. A continuación, para 

permitir que el tráfico de datos multicast pase entre zonas, también debe configurar 

una directiva del cortafuegos. 

En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una 

interfaz en el sistema virtual raíz (vsys) y la otra interfaz en vsys separados. A 

continuación, cree una directiva multicast para permitir tráfico de control multicast 

entre los dos sistemas virtuales. (Para obtener más información acerca de los 

sistemas virtuales, consulte el Volumen 5: Redes privadas virtuales). 

Mientras las interfaces reenvían información de miembros IGMP, crean entradas en 

la tabla de rutas multicast del enrutador virtual al que están asociadas las interfaces, 

construyendo un árbol de distribución multicast desde los receptores hasta el 

origen. Las siguientes secciones describen cómo las interfaces de hosts y 

enrutadores IGMP reenvían la información de miembros de IGMP en sentido 

ascendente hacia el origen, y cómo reenvían datos multicast en sentido 

descendente desde el origen hasta el receptor. 

Proxy de IGMP 155


Informes de miembros en sentido ascendente hacia el origen 

156 Proxy de IGMP 

Cuando un host conectado a una interfaz de enrutador en un dispositivo de 

seguridad se une a un grupo multicast, envía un informe de miembros al grupo 

multicast. Cuando la interfaz del enrutador recibe el informe de miembros del host 

recién unido, comprueba si tiene una entrada para el grupo multicast. A 

continuación, el dispositivo de seguridad lleva a cabo una de las acciones 

siguientes: 

Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora el 

informe de miembros. 

Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast, 

comprueba si hay una directiva multicast para el grupo que especifique a qué 

zona(s) la interfaz del enrutador debe enviar el informe. 

Si no hay ninguna directiva multicast para el grupo, la interfaz del 

enrutador no reenvía el informe. 

Si hay alguna directiva multicast para el grupo, la interfaz del enrutador 

crea una entrada para el grupo multicast y reenvía el informe de miembros 

a la interfaz del host proxy en la zona especificada en la directiva multicast. 

Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si 

tiene una entrada (*, G) para ese grupo multicast. 

Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz 

del enrutador a la lista de las interfaces de salida para esa entrada. 

Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de 

entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del 

enrutador. A continuación, la interfaz del host proxy reenvía el informe a su 

enrutador en sentido ascendente.

Datos multicast en sentido descendente a los receptores 

Figura 26: Configuración del host proxy de IGMP 

3. La interfaz del host proxy de IGMP 

comprueba si tiene una entrada (*, G) 

para el grupo multicast: 

• En caso afirmativo, agrega la interfaz del 

enrutador a las interfaces salientes en 

una entrada multicast de la tabla de 

rutas. 

• En caso negativo, crea la entrada y 

reenvía el informe de miembros al 

enrutador en sentido ascendente. 

2. La interfaz del enrutador proxy de GMP 

comprueba si hay alguna entrada para el 

grupo multicast: 

• En caso afirmativo, ignora el informe de 

miembros. 

• En caso negativo y si no hay ninguna 

directiva multicast para el grupo, 

descarta el informe de miembros. 

• En caso negativo, pero si existe alguna 

directiva multicast para el grupo, crea 

una entrada (*, G) en la tabla de rutas 

multicast, con el host como iif y el 

enrutador como oif. Reenvía el informe 

en sentido ascendente hacia la interfaz 

del host en la zona especificada en la 

directiva multicast. 

1. Los hosts envían informes de miembros 

en sentido ascendente. 


Cuando la interfaz del host en el dispositivo de seguridad recibe datos multicast 

para un grupo multicast, comprueba si hay una sesión existente para ese grupo. 

Si hay una sesión para el grupo, la interfaz reenvía los datos multicast 

basándose en la información de la sesión. 

Si no hay sesión para el grupo, la interfaz comprueba si el grupo tiene una 

entrada (S, G) en la tabla de rutas multicast. 

Si hay una entrada (S, G), la interfaz reenvía los datos multicast en 

consecuencia. 

Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna 

entrada (*, G) para el grupo. 

Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta 

el paquete. 

Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una entrada 

(S, G). Cuando la interfaz recibe paquetes multicast subsiguientes para ese 

grupo, reenvía el tráfico a la interfaz del enrutador (la interfaz de salida) 

que, a su vez, reenvía el tráfico a su host conectado. 

La Figura 26 muestra un ejemplo de una configuración de host proxy de IGMP. 

Enrutador 

designado 

de origen 

Zona 

Untrust 

Zona 

Trust 

Origen 

Internet 

Receptores 

Interfaz del 

host proxy de 

IGMP 

Interfaz del 

enrutador proxy 

de IGMP 

4. El origen envía datos multicast en 

sentido descendente hacia el receptor. 

5. La interfaz del host proxy de IGMP 

comprueba si existe alguna sesión 

para el grupo: 

• En caso afirmativo, reenvía los datos 

multicast. 

• En caso negativo, comprueba si hay 

alguna entrada (S, G) para el grupo: 

• En caso afirmativo, reenvía los datos 

multicast. 

• En caso negativo, compruebe si hay 

alguna entrada (*, G): 

• En caso negativo, descarta los 

datos. 

• En caso afirmativo, crea una 

entrada (S, G) y reenvía datos 

utilizando la interfaz de entrada y 

de salida desde la entrada (*, G). 

6. La interfaz del enrutador proxy de 

IGMP reenvía datos a los receptores. 

Proxy de IGMP 157


Configurar el proxy de IGMP 


En esta sección se describen los pasos básicos necesarios para configurar IGMP 

proxy en un dispositivo de seguridad de Juniper Networks: 

1. Habilitar IGMP en el modo host en interfaces en sentido ascendente. De forma 

predeterminada, el proxy de IGMP está habilitado en las interfaces de hosts. 

2. Habilitar IGMP en el modo enrutador en interfaces en sentido descendente. 

3. Habilitar IGMP proxy en interfaces de enrutador. 

4. Configurar una directiva multicast que permita que el tráfico de control 

multicast pase de una zona a otra. 

5. Configurar una directiva para entregar tráfico de datos entre zonas. 

Configurar un proxy de IGMP en una interfaz 

Al ejecutar IGMP proxy en un dispositivo de seguridad, la interfaz en sentido 

descendente se configura en modo enrutador y la interfaz en sentido ascendente 

en modo host. (Observe que una interfaz puede estar en modo host o en modo 

enrutador, pero no en ambos). Además, para que una interfaz de enrutador reenvíe 

tráfico multicast, debe ser el consultador en la red local. Para permitir que una 

interfaz no consultadora reenvíe tráfico multicast, debe especificar la palabra clave 

always al habilitar IGMP on la interfaz. 

De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de su 

propia subred. Ignora los mensajes IGMP procedentes de orígenes externos. Debe 

habilitar el dispositivo de seguridad para que acepte mensajes IGMP procedentes de 

orígenes de otras subredes al ejecutar IGMP proxy. 

En este ejemplo, la interfaz ethernet1 tiene la dirección IP 10.1.2.1/24 y está 

conectada al enrutador en sentido ascendente. Configure lo siguiente en ethernet1: 

Habilitar IGMP en el modo host 

Permitir que acepte mensajes IGMP desde todos los orígenes, sin importar la 

subred 

La interfaz ethernet3 tiene la dirección IP 10.1.1.1/24 y está conectada con los 

hosts. Configure lo siguiente en ethernet3: 

Habilitar IGMP en el modo enrutador 

Permitir que reenvíe tráfico multicast aunque no sea un consultador. 

Permitir que acepte mensajes IGMP procedentes de orígenes de otras subredes.

WebUI 











2. IGMP 



CLI 

IGMP Mode: Host (seleccione) 


Packet From Different Subnet: Permit (seleccione) 






Proxy: (seleccione) 

Always (seleccione) 






2. IGMP 

set interface ethernet1 protocol igmp host 


set interface ethernet1 protocol igmp no-check-subnet 


set interface ethernet3 protocol igmp proxy 

set interface ethernet3 protocol igmp proxy always 



save 

Proxy de IGMP 159


Directivas Multicast para configuraciones de IGMP y proxy de IGMP 


Normalmente, un dispositivo de seguridad intercambia mensajes IGMP sólo con sus 

hosts conectados. Con IGMP Proxy, los dispositivos de seguridad pueden necesitar 

enviar mensajes IGMP a un host o a un enrutador en otra zona. Para permitir el 

envío interzonal de mensajes IGMP, debe configurar una directiva multicast que lo 

permita específicamente. Al crear una directiva multicast, debe especificar lo 

siguiente: 

Origen: La zona desde la que se inicia el tráfico 

Destino: La zona a la que se envía el tráfico 

Grupo multicast: Puede ser un grupo multicast, una lista de accesos que 

especifique grupos multicast o “any” 

Además, puede especificar que la directiva sea bidireccional para aplicar la directiva 

a ambos sentidos del tráfico. 

Crear una directiva de grupo multicast para IGMP 

En este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la interfaz 

del host en la zona Untrust. Defina una directiva multicast que permita que los 

mensajes IGMP para el grupo multicast 224.2.202.99/32 puedan pasar entre las 

zonas Trust y Untrust. La palabra clave bi-directional se utiliza para permitir el 

tráfico en ambos sentidos. 

WebUI 

MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes 


MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32 

Bidirectional: (seleccione) 

IGMP Message: (seleccione) 

CLI 

set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust 

igmp-message bi-directional 

save 

Crear una configuración de proxy de IGMP 

Como se indica en la Figura 27, usted configurará IGMP proxy en los dispositivos 

de seguridad NS1 y NS2. Están interconectados a través de un túnel VPN. Realice 

los pasos siguientes en los dispositivos de seguridad de ambos lugares: 

1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas 

de seguridad. 

2. Crear los objetos de direcciones.


3. Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP proxy 

en la interfaz del enrutador. (De forma predeterminada, IGMP proxy está 

habilitado en las interfaces de host). 

a. Especifique la palabra clave always en ethernet1 de NS1 para permitir que 

reenvíe tráfico multicast incluso aunque no sea un consultador. 

b. De forma predeterminada, una interfaz IGMP sólo acepta paquetes IGMP 

de su propia subred. En el ejemplo, las interfaces están en subredes 

diferentes. Al habilitar IGMP, permita que las interfaces acepten paquetes 

IGMP (consultas, informes de miembros y mensajes “leave”) procedentes 

de cualquier subred. 

4. Configurar las rutas. 

5. Configurar el túnel VPN. 

6. Configurar una directiva para transmitir tráfico de datos entre zonas. 

7. Configurar una directiva multicast para entregar mensajes IGMP entre zonas. 

En este ejemplo, restringirá el tráfico multicast a un grupo multicast 

(224.4.4.1/32). 

Figura 27: Configuración de IGMP Proxy entre dos dispositivos 

Origen 

Zona Trust 

ethernet1 

10.2.2.1/24 

Enrutador 

designado 

Elementos relacionados con NSI 

ethernet3 

2.2.2.2/24 


tunnel.1 

NS1 

Zona Untrust 

WebUI (NS1) 

Internet 

Túnel VPN 

Zona Untrust 

1. Interfaces 



NS2 


tunnel.1 

ethernet3 

3.1.1.1/24 

Elementos relacionados con NS2 


Static IP: (seleccione esta opción si es posible) 



Interface Mode: NAT 

ethernet1 

10.3.1.1/24 

Zona Trust 

Receptores 

Proxy de IGMP 161








clic en OK: 




Interface: ethernet3 (trust-vr) 

2. Direcciones 


en OK: 

Address Name: branch 



Zone: Untrust 

3. IGMP 






Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes 





Proxy (seleccione): Always (seleccione) 

4. Rutas 

Network > Routing > Routing Entries > New: Introduzca los siguientes datos 

y haga clic en OK: 


Gateway (seleccione): 

Interface: tunnel.1 (seleccione)


5. VPN 

VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos 


Gateway Name: To_Branch 

Security Level: Compatible 

Remote Gateway Type: 

Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 

Preshared Key: fg2g4h5j 

Outgoing Interface: ethernet3 

>> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en 

Return para regresar a la página de configuración básica de puerta de 

enlace: 


Phase 1 Proposal (para Compatible Security Level): pre-g2-3des-sha 

Mode (Initiator): Main (Protección de la identificación) 

6. Directivas 

Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y 


Source Address: 

Address Book Entry: (seleccione), branch 

Destination Address: 

Address Book Entry: (seleccione), any (seleccione) 

Service: any 


7. Directiva multicast 

MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes 


WebUI (NS2) 

Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 



1. Interfaces 









Proxy de IGMP 163











en OK: 

Address Name: mgroup1 



Zone: Trust 


en OK: 

Address Name: source-dr 



Zone: Untrust 

3. IGMP 






Network > Interfaces > Edit (para tunnel.1) > IGMP: Introduzca los siguientes 





4. Rutas 

Network > Routing > Routing Entries > New (trust-vr): Introduzca los 



Gateway (seleccione): 

Interface: tunnel.1 (seleccione)


5. VPN 



Gateway Name: To_Corp 




Preshared Key: fg2g4hvj 


> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en 

Return para regresar a la página de configuración básica de Gateway: 




6. Directivas 




Address Book Entry: (seleccione), source-dr 


Address Book Entry: (seleccione), mgroup1 

Service: ANY 



MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes 





CLI (NS1) 

1. Interfaces 








set address untrust branch1 10.3.1.0/24 

3. IGMP 




set interface tunnel.1 protocol igmp router 

set interface tunnel.1 protocol igmp proxy 

set interface tunnel.1 protocol igmp proxy always 

set interface tunnel.1 protocol igmp enable 

set interface tunnel.1 protocol igmp no-check-subnet 

Proxy de IGMP 165



4. Rutas 

set route 10.3.1.0/24 interface tunnel.1 

5. Túnel VPN 

set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 

preshare fg2g4h5j proposal pre-g2-3des-sha 

set vpn Corp_Branch gateway To_Branch sec-level compatible 

set vpn Corp_Branch bind interface tunnel.1 

set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any 

6. Directivas 

set policy name To_Branch from untrust to trust branch1 any any permit 

7. Directivas multicast 



save 

CLI (NS2) 

1. Interfaces 








set address trust mgroup1 224.4.4.1/32 

set address untrust source-dr 10.2.2.1/24 

3. IGMP 


set interface ethernet1 protocol igmp proxy 



set interface tunnel.1 protocol igmp host 

set interface tunnel.1 protocol igmp enable 

set interface tunnel.1 protocol igmp no-check-subnet 

4. Rutas 

set route 10.2.2.0/24 interface tunnel.1 

5. Túnel VPN 

set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 

preshare fg2g4hvj proposal pre-g2-3des-sha 

set vpn Branch_Corp gateway To_Corp sec-level compatible 

set vpn Branch_Corp bind interface tunnel.1 

set vpn Branch_Corp proxy-id local-ip 10.3.1.0/24 remote-ip 10.2.2.0/24 any 

6. Directivas 

set policy from untrust to trust source-dr mgroup1 any permit 


set multicast-group-policy from untrust mgroup 224.4.4.1/32 to trust 


save

Configurar un proxy del remitente de IGMP 

Figura 28: Proxy del remitente de IGMP 

Receptores 


En IGMP proxy, el tráfico multicast generalmente viaja en sentido descendente 

desde la interfaz del host a la interfaz del enrutador. En determinadas situaciones, 

el origen puede estar en la misma red que la interfaz del enrutador. Cuando un 

origen se conecta a una interfaz que se encuentra en la misma red a la que la 

interfaz del proxy del enrutador IGMP envía tráfico multicast, el dispositivo de 

seguridad comprueba si hay lo siguiente: 

Una directiva del grupo multicast permitiendo el tráfico desde la zona de origen 

a la zona de la interfaz del host IGMP proxy 

Una lista de accesos de los orígenes aceptables 

Si no hay ninguna directiva multicast entre la zona de origen y la zona de la interfaz 

IGMP proxy o si el origen no se encuentra en la lista de orígenes aceptables, el 

dispositivo de seguridad descarta el tráfico. Si existe una directiva multicast entre la 

zona de origen y la zona de la interfaz IGMP proxy, y el origen aparece en la lista de 

orígenes aceptables, el dispositivo crea una entrada (S, G) para esa interfaz en la 

tabla de rutas multicast; la interfaz entrante es la interfaz a la que el origen está 

conectado y la interfaz saliente es la interfaz del host IGMP proxy. A continuación, 

el dispositivo de seguridad envía los datos en sentido ascendente a la interfaz del 

host IGMP proxy, que envía los datos a todas sus interfaces conectadas, salvo a la 

interfaz conectada con el origen. 

La Figura 28 muestra un ejemplo del proxy del remitente de IGMP. 

Internet 

La interfaz del IGMP proxy de ethernet3 

envía tráfico multicast a todas las 

interfaces de enrutador proxy 

tráfico multicast 

ethernet2 

Tabla de rutas multicast 

iff = ethernet2 

oif = ethernet3 Origen 

ethernet1 

Receptores 

En la Figura 29, el origen está conectado a la interfaz ethernet2, asociada a la zona 

DMZ en NS2. Está enviando tráfico multicast al grupo multicast 224.4.4.1/32. Hay 

receptores conectados a la interfaz ethernet1 asociada a la zona Trust en NS2. Tanto 

ethernet1 como ethernet2 son interfaces de enrutador IGMP proxy. La interfaz 

ethernet3 asociada a la zona Untrust de NS2 es una interfaz de host de IGMP proxy. 

También hay receptores conectados con la interfaz ethernet1 asociada a la zona 

Trust en NS1. Realice los pasos siguientes en NS2: 

Proxy de IGMP 167



1. Asignar direcciones IP a las interfaces físicas asociadas a las zonas 

de seguridad. 

2. Cree los objetos de direcciones. 

3. En ethernet1 y ethernet2: 

a. Habilite IGMP en el modo enrutador y habilite IGMP proxy. 

b. Especifique la palabra clave always para permitir que las interfaces 

reenvíen tráfico multicast incluso aunque no sean consultadores. 

4. Habilite IGMP en modo host en ethernet3. 

5. Configure la ruta predeterminada. 

6. Configure las directivas de cortafuegos entre las zonas. 

7. Configure las directivas multicast entre las zonas. 

Figura 29: Ejemplo de red de proxy del remitente de IGMP 

Receptores 

ethernet1 

10.2.2.1/24 

Zona Trust 

Nota: Las zonas de seguridad no 

se muestran en esta ilustración. 

NOTA: Este ejemplo sólo contiene la configuración de NS2, no la de NS1. 

NS1 

WebUI (NS2) 

ethernet3 

1.1.1.1/24 

Zona Untrust 

Internet 

ethernet 3 

2.2.2.2/24 

Host del proxy 

IGMP de la 

zona Untrust 

1. Interfaces 



NS2 






ethernet1, 10.2.2.1 

Proxy del enrutador 

IGMP de zona Trust 

ethernet2, 3.2.2.1/24 

zona DMZ, Proxy del 

enrutador IGMP 

Receptores 

Origen 

3.2.2.5




Zone Name: DMZ 










en OK: 




Zone: Trust 


en OK: 




Zone: DMZ 


en OK: 

Address Name: proxy-host 



Zone: Untrust 

3. IGMP 











Proxy de IGMP 169








4. Ruta 







5. Directivas 

Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes datos y 



Address Book Entry: source-dr 



Service: ANY 


Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes datos y 






Service: ANY 





Address Book Entry: (seleccione), proxy-host 



Service: ANY 



MCast Policies > (From: DMZ, To: Untrust) > New: Introduzca los siguientes 




IGMP Message: (seleccione)


MCast Policies > (From: DMZ, To: Trust) > New: Introduzca los siguientes 





MCast Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes 


CLI (NS2) 




1. Interfaces 



set interface ethernet1 nat 

set interface ethernet2 zone dmz 






set address dmz source-dr 3.2.2.5/32 

set address untrust proxy-host 2.2.2.2/32 

3. IGMP 










4. Ruta 


5. Directivas 

set policy from dmz to trust source-dr mgroup1 any permit 

set policy from dmz to untrust source-dr mgroup1 any permit 

set policy from untrust to trust proxy-host mgroup1 any permit 

6. Directivas multicast 

set multicast-group-policy from dmz mgroup 224.4.4.1/32 to untrust 


set multicast-group-policy from dmz mgroup 224.4.4.1/32 to trust igmp-message 

bi-directional 



save 

Proxy de IGMP 171


172 Proxy de IGMP

Capítulo 8 

Multicast independiente de protocolo 

(PIM) 

En este capítulo se describe el Protocol Independent Multicast (PIM) en los 

dispositivos de seguridad de Juniper Networks. Contiene las siguientes secciones: 


“PIM-SM” en la página 176 

“Árboles de distribución multicast” en la página 176 

“Enrutador designado” en la página 177 

“Asignar puntos de encuentro a grupos” en la página 177 

“Reenviar tráfico a través del árbol de distribución” en la página 178 

“Configuración de PIM-SM en dispositivos de seguridad” en la página 180 

“Habilitar y eliminar una instancia PIM-SM en un enrutador virtual (VR)” en 

la página 181 

“Habilitar y deshabilitar PIM-SM en interfaces” en la página 182 

“Directivas de grupo multicast” en la página 182 

“Ajustar una configuración de PIM-SM básica” en la página 184 

“Comprobar la configuración” en la página 189 

“Configurar puntos de encuentro” en la página 191 

“Configurar de un punto de encuentro estático” en la página 191 

“Configurar de un punto de encuentro candidato” en la página 192 

“Consideraciones sobre seguridad” en la página 193 

“Restringir grupos multicast” en la página 193 

“Restringir orígenes multicast” en la página 194 

“Restringir puntos de encuentro” en la página 195 

173


174 

“Parámetros de la interfaz PIM-SM” en la página 196 

“Definir una directiva de vecindad” en la página 196 

“Definir un borde bootstrap” en la página 197 

“Configurar de un punto de encuentro del proxy” en la página 198 

“PIM-SM e IGMPv3” en la página 207

Vista general 

Capítulo 8: Multicast independiente de protocolo (PIM) 

El protocolo PIM es un protocolo de enrutamiento multicast que se ejecuta entre 

enrutadores. Mientras que el protocolo Internet Group Management Protocol (IGMP) 

se ejecuta entre equipos y enrutadores para intercambiar información de miembros 

del grupo multicast, PIM se ejecuta entre enrutadores para reenviar tráfico multicast 

a los miembros del grupo multicast de toda la red. (Para obtener información sobre 

IGMP, consulte “Protocolo IGMP” en la página 145). 

Figura 30: IGMP 

Origen 

Internet 

Los protocolos de 

enrutamiento multicast, 

tales como PIM-SM, 

alimentan la tabla de 

rutas multicast y 

reenvían datos a los 

hosts de toda la red. 

Hosts y enrutadores 

utilizan IGMP para 

intercambiar información 

de miembros del grupo 

multicast. 

Para ejecutar PIM, también debe configurar o bien rutas estáticas o un protocolo de 

enrutamiento dinámico. PIM se llama independiente del protocolo porque utiliza la 

tabla de rutas del protocolo de enrutamiento unicast subyacente para realizar sus 

comprobaciones RPF (reenvío por rutas inversas), pero no depende de la 

funcionalidad del protocolo de enrutamiento unicast. (Para obtener información 

sobre RPF, consulte “Reenviar rutas inversas” en la página 138). 

PIM puede funcionar de los modos siguientes: 

El modo PIM-Dense (PIM-DM) inunda toda la red con tráfico multicast y luego 

corta las rutas a hacia los receptores que no desean recibir tráfico multicast. 

El modo PIM-Sparse (PIM-SM) reenvia tráfico multicast solamente a los 

receptores que lo soliciten. Los enrutadores que ejecuten PIM-SM pueden 

utilizar el árbol de ruta compartida o el árbol de ruta más corta (SPT) para 

reenviar la información multicast. (Para obtener información sobre árboles de 

distribución multicast, consulte “Árboles de distribución multicast” en la 

página 176). 

Vista general 175


PIM-SM 


El modo multicast específico del origen PIM (“PIM-Source Specific Multicast 

Mode” o PIM-SSM) está derivado del PIM-SM. Igual que PIM-SM, reenvía tráfico 

multicast sólo a los receptores interesados. A diferencia de PIM-SM, forma 

inmediatamente un SPT al origen. 

Los dispositivos de seguridad de Juniper Networks admiten PIM-SM, según la 

definición draft-ietf-pim-sm-v2-new-06, así como PIM-SSM según la definición 

RFC 3569, An Overview of Source-Specific Multicast (SSM). Para obtener 

información sobre PIM-SM, consulte “PIM-SM.” Para obtener información sobre 

PIM-SSM, consulte “PIM-SSM” en la página 180. 

PIM-SM es un protocolo de enrutamiento multicast que reenvía tráfico multicast 

sólo a los receptores interesados. Puede utilizar un árbol de distribución compartido 

o el árbol de ruta más corta (SPT) para reenviar tráfico multicast a través de la red. 

(Para obtener información sobre árboles de distribución multicast, consulte 

“Árboles de distribución multicast” en la página 176). De forma predeterminada, 

PIM-SM utiliza el árbol de distribución compartido con un punto de encuentro (RP) 

en la raíz del árbol. Todos los orígenes de un grupo envían sus paquetes al RP, y el 

RP envía datos en dirección descendente por el árbol de distribución compartido a 

todos los receptores de la red. Cuando se alcanza un umbral configurado, los 

receptores pueden formar un SPT al origen, reduciendo el tiempo que lleva a los 

receptores recibir los datos multicast. 

NOTA: De forma predeterminada, los dispositivos de seguridad de Juniper Networks 

conmutan al SPT en el momento de recibir el primer byte. 

Con independencia del árbol utilizado para distribuir el tráfico, sólo los receptores 

que explícitamente se unan a un grupo multicast pueden recibir el tráfico enviado a 

ese grupo. PIM-SM utiliza la tabla de enrutamiento unicast para realizar sus 

operaciones de reenvío por rutas inversas (RPF) al recibir mensajes de control 

multicast y utiliza la tabla de enrutamiento multicast para enviar tráfico de datos 

multicast a los receptores. 

Árboles de distribución multicast 

Los enrutadores multicast reenvían el tráfico multicast en sentido descendente 

desde el origen a los receptores a través de un árbol de distribución multicast. Hay 

dos tipos de árboles de distribución multicast: 

El árbol de la ruta más corta (SPT): El origen se encuentra en la raíz del árbol y 

reenvía los datos multicast en sentido descendente a cada receptor. 

Denominada también árbol específico del origen o “source-specific tree”. 

Árbol de distribución compartido: El origen transmite el tráfico multicast al 

punto de encuentro (“rendezvous point” o RP), que típicamente es un 

enrutador en el núcleo de la red. A continuación, el RP reenvía el tráfico en 

sentido descendente a los receptores del árbol de distribución.

Figura 31: PIM 

Árbol de la ruta más corta 

Árbol de distribución compartido 

Árbol de la ruta más corta 

1. El origen envía tráfico multicast en 

sentido descendente a los receptores. 

Receptores 

Enrutador designado 


Cuando en una red de área local (LAN) multiacceso hay varios enrutadores 

multicast, los enrutadores eligen un enrutador designado (DR). El DR en la LAN del 

origen es responsable de enviar los paquetes multicast desde el origen al RP y a los 

receptores que están en el árbol de distribución específico del origen. El DR en la 

LAN de los receptores es responsable de reenviar mensajes join-prune desde los 

receptores al RP, y de enviar el tráfico de datos multicast a los receptores de la LAN. 

Los receptores envían mensajes join-prune cuando desean unirse a un grupo 

multicast o salir de él. 

El DR se selecciona a través de un proceso de selección. Cada enrutador PIM-SM de 

una LAN tiene una prioridad DR configurable por el usuario. Los enrutadores de 

PIM-SM anuncian sus prioridades DR mediante mensajes de saludo (“hello”) que 

envían periódicamente a sus vecinos. Cuando los enrutadores reciben los mensajes 

de saludo, seleccionan el enrutador con la prioridad DR más alta como DR para la 

LAN. Si varios enrutadores coinciden en tener la prioridad DR más alta, el enrutador 

con la dirección IP más alta se convertirá en el DR de la LAN. 

Asignar puntos de encuentro a grupos 

Árbol de distribución compartido 

2. El origen envía tráfico multicast en sentido 

descendente hacia el punto de encuentro (RP). 

3. El RP reenvía tráfico multicast en sentido 

descendente a los receptores. 

Un punto de encuentro (“rendezvous point” o RP) envía paquetes multicast para 

determinados grupos multicast. Un dominio PIM-SM es un grupo de enrutadores 

PIM-SM con las mismas asignaciones de grupo RP. Hay dos maneras de asignar 

grupos multicast a un RP: estáticamente y dinámicamente. 

Asignación de RP estática 

Para crear una asignación estática entre un RP y un grupo multicast, debe 

configurar el RP para el grupo multicast en cada enrutador de la red. Cada vez que 

cambie la dirección del RP, deberá volver a configurar la dirección del RP. 

RP 

Receptores 

Vista general 177


Figura 32: Datos de envío origen 


Asignación de RP dinámica 

PIM-SM también proporciona un mecanismo de asignación dinámica de RPs a 

grupos multicast. En primer lugar, configure los puntos de encuentro de candidatos 

(C-RPs) para cada grupo multicast. A continuación, los C-RPs envían notificaciones 

Candidate-RP a un enrutador de la LAN, denominado enrutador “bootstrap” (BSR). 

Las notificaciones contienen el grupo multicast para el cual el enrutador actúa como 

RP y la prioridad del C-RP. 

El BSR recoge estas notificaciones C-RP y las emite en un mensaje BSR a todos los 

enrutadores del dominio. Los enrutadores recogen estos mensajes BSR y utilizan un 

algoritmo hash bien conocido para seleccionar un RP activo por cada grupo 

multicast. Si el RP seleccionado falla, el enrutador selecciona una nueva asignación 

de grupo RP entre los RPs candidatos. Para obtener información sobre el proceso de 

selección de BSR, consulte draft-ietf-pim-sm-bsr-03.txt. 

Reenviar tráfico a través del árbol de distribución 

Esta sección describe cómo los enrutadores PIM-SM envían mensajes “join” al 

punto de encuentro (RP) de un grupo multicast y cómo el RP envía datos multicast 

a los receptores de la red. En un entorno de red multicast, un dispositivo de 

seguridad puede funcionar como RP, como enrutador designado en la red del 

origen o en la red de los receptores, o como enrutador intermedio. 

El origen envía datos a un grupo 

Cuando un origen comienza a enviar paquetes multicast, transmite esos paquetes a 

través de la red. Cuando el enrutador designado (DR) en esa red de área local (LAN) 

recibe los paquetes multicast, consulta la interfaz saliente y la dirección IP del salto 

siguiente hacia el RP en la tabla de rutas unicast. A continuación, el DR encapsula 

los paquetes multicast en paquetes unicast, denominados mensajes REGISTER, y 

los reenvía a la dirección IP del siguiente salto. Cuando el RP recibe los mensajes 

REGISTER, desencapsula los paquetes y envía los paquetes multicast en sentido 

descendente por el árbol de distribución hacia los receptores. 

1. El origen envía los paquetes 

multicast en sentido 

descendente. 

2. El DR encapsula los 

paquetes y envía mensajes 

REGISTER al RP. 

Origen 

3. El RP desencapsula los mensajes 

REGISTER y envía paquetes 

multicast a los receptores. 

Punto de encuentro (RP) 

Enrutador designado (DR) 

Receptores Receptores 

Si la velocidad de transmisión de los datos del DR de origen alcanza un umbral 

configurado, el RP envía un mensaje PIM-SM adjunto hacia el DR de origen, de 

modo que el RP pueda recibir datos multicast nativos, en lugar de los mensajes 

REGISTER. Cuando el DR de origen recibe el mensaje adjunto, envía los paquetes

Figura 33: El host se une a un grupo 

Hosts/Receptores 


multicast y los mensajes REGISTER hacia el RP. Cuando el RP recibe los paquetes 

multicast del DR, envía al DR un mensaje register-stop. Cuando el DR recibe el 

mensaje register-stop, deja de enviar los mensajes REGISTER y envía los datos 

multicast nativos, que el RP envía en sentido descendente a los receptores. 

El host se une a un grupo 

Cuando un host se une a un grupo multicast, envía un mensaje IGMP adjunto a ese 

grupo multicast. Cuando el DR de la LAN del host recibe el mensaje IGMP adjunto, 

consulta el grupo en el RP. Crea una entrada (*, G) en la tabla de rutas multicast y 

envía un mensaje PIM-SM adjunto a su RPF vecino en sentido ascendente hacia el 

RP. Cuando el enrutador de sentido ascendente recibe los mensajes PIM-SM 

adjuntos, realiza el mismo proceso de consulta RP y también comprueba si el 

mensaje adjunto viene de un RPF vecino. Si es así, remite el mensaje PIM-SM 

adjunto hacia el RP. Este proceso se repite hasta que el mensaje PIM-SM adjunto 

alcanza el RP. Cuando el RP recibe el mensaje adjunto, envía los datos multicast en 

sentido descendente hacia el receptor. 

Enrutador designado (DR) 

Origen 

1. Hosts envía los mensaje 

adjuntos de IGMP para el 

grupo multicast. 

2. DR envía los mensajes 

adjuntos IGMP al RP. 

Puento de 

Encuentro (RP) 

Hosts/Receptores 

3. RP envía datos multicast 

en sentido descendente 

a los receptores. 

Cada enrutador en sentido descendente realiza una comprobación del RPF cuando 

recibe los datos multicast. Cada enrutador comprueba si recibió los paquetes 

multicast de la interfaz que utiliza para enviar tráfico de datos hacia el RP. Si la 

comprobación del RPF es correcta, el enrutador busca una entrada de reenvío (*, G) 

coincidente en la tabla de rutas multicast. Si encuentra la entrada (*, G), coloca el 

origen en la entrada, que se convierte en una entrada (S, G) y reenvía los paquetes 

multicast en sentido descendente. Este proceso continúa en sentido descendente a 

lo largo del árbol de distribución hasta que el host recibe los datos multicast. 

Cuando la velocidad de transmisión de datos alcanza un umbral configurado, el DR 

de la LAN del host puede formar el árbol de ruta más corta directamente al origen 

multicast. Cuando el DR comienza a recibir tráfico de datos directamente del 

origen, envía un mensaje prune específico del origen en sentido ascendente hacia 

el RP. Cada enrutador intermedio “corta” del árbol de distribución la conexión con 

el host, hasta que el mensaje prune alcanza el RP, que en ese momento deja de 

enviar tráfico de datos multicast en sentido descendente hacia esa rama en 

particular del árbol de distribución. 

Vista general 179


PIM-SSM 

180 Configuración de PIM-SM en dispositivos de seguridad 

Además de PIM-SM, los dispositivos de seguridad también admiten 

PIM-Source-Specific Multicast (SSM). PIM-SSM sigue el modelo source-specific (SSM) 

donde el tráfico multicast se transmite a los canales, no sólo a los grupos multicast. 

Un canal consiste en un origen y un grupo multicast. Un receptor se suscribe a un 

canal con un origen conocido y un grupo multicast. Los receptores proporcionan 

información sobre el origen a través de IGMPv3. El enrutador designado en la LAN 

envía mensajes al origen y no a un punto de encuentro (RP). 

El IANA ha reservado el rango de direcciones multicast 232/8 para el servicio SSM 

en IPv4. Si IGMPv3 se ejecuta en un dispositivo junto con PIM-SM, las operaciones 

PIM-SSM están garantizadas dentro de este rango de direcciones. El dispositivo de 

seguridad manipula los informes de miembros IGMPv3 para los grupos multicast 

dentro del rango de direcciones 232/8 tal y como sigue: 

Si el informe contiene un modo de filtro include, el dispositivo envía el informe 

directamente a los orígenes de la lista de origen. 

Si el informe contiene un modo de filtro exclude, el dispositivo descarta el 

informe. No procesa informes (*, G) para los grupos multicast del rango de 

direcciones 232/8. 

Los pasos para configurar PIM-SSM en un dispositivo de seguridad son iguales a los 

necesarios para configurar PIM-SM pero con las siguientes diferencias: 

Debe configurar IGMPv3 en interfaces conectadas con receptores. (IGMPv2 está 

habilitado de forma predeterminada en los dispositivos de seguridad). 

Cuando configure una directiva de grupo multicast, autorice los mensajes 

join-prune. (Los mensajes bootstrap no se utilizan). 

No configure un punto de encuentro. 

Las siguientes secciones explican cómo configurar PIM-SM en dispositivos 

de seguridad. 

Configuración de PIM-SM en dispositivos de seguridad 

Los dispositivos de seguridad de Juniper Networks tienen dos enrutadores virtuales 

predefinidos (VRs): trust-vr y untrust-vr. Cada enrutador virtual es un componente 

de enrutamiento independiente con sus propias tablas de rutas. Protocol 

Independent Multicast - Sparse Mode (PIM-SM) utiliza la tabla de rutas del enrutador 

virtual en el cual está configurado para consultar la interfaz de reenvío por rutas 

inversas (PIM-SM) y la dirección IP siguiente. Por lo tanto, para ejecutar PIM-SM en 

un dispositivo de seguridad, primero debe configurar rutas estáticas o un protocolo 

de enrutamiento dinámico en un enrutador virtual, y luego tiene que configurar el 

PIM-SM en el mismo enrutador virtual. (Para obtener información sobre 

enrutadores virtuales, consulte el Capítulo 2, “Enrutamiento”, en la página 13). 

Los dispositivos de seguridad admiten los siguientes protocolos de enrutamiento 

dinámico: 

Open Shortest Path First (OSPF): Para obtener más información acerca de 

OSPF, consulte el Capítulo 3, “Protocolo OSPF”, en la página 47.


Routing Information Protocol (RIP): Para obtener más información acerca de 

RIP, consulte el Capítulo 4, “Protocolo de información de enrutamiento”, en la 

página 79. 

Border Gateway Protocol (BGP):Para obtener más información acerca de BGP, 

consulte el Capítulo 5, “Protocolo BGP”, en la página 109. 

Las secciones siguientes describen los pasos básicos necesarios para configurar un 

PIM-SM en un dispositivo de seguridad: 

Crear y habilitar una instancia PIM-SM en un enrutador virtual (VR). 

Habilitar PIM-SM en las interfaces. 

Configurar una directiva multicast para permitir que los mensajes PIM-SM 

pasen por el dispositivo de seguridad. 

Habilitar y eliminar una instancia PIM-SM en un enrutador virtual (VR) 

Puede configurar una instancia PIM-SM para cada enrutador virtual. PIM-SM utiliza 

la tabla de rutas unicast del enrutador virtual para realizar su comprobación del 

RPF. Después de crear y habilitar una instancia de enrutamiento PIM-SM en un 

enrutador virtual, puede habilitar el PIM-SM en las interfaces del enrutador virtual. 

Habilitar de una instancia PIM-SM 

En este ejemplo, creará y habilitará una instancia PIM-SM para el enrutador virtual 

trust-vr. 

WebUI 

Network > Routing > Virtual Routers > Edit (for trust-vr) > Create PIM 

Instance: Seleccione Protocol PIM: Enable, luego haga clic en Apply. 

CLI 

ns-> set vrouter trust-vr 

ns(trust-vr)-> set protocol pim 

ns(trust.vr/pim)-> set enable 

ns(trust.vr/pim)-> exit 


save 

Eliminar una instancia PIM-SM 

En este ejemplo eliminará la instancia PIM-SM del enrutador virtual trust-vr. Cuando 

elimine la instancia PIM-SM de un enrutador virtual, el dispositivo de seguridad 

inhabilita el PIM-SM en las interfaces y borra todos los parámetros de la interfaz 

PIM-SM. 

WebUI 

Network > Routing > Virtual Router (trust-vr) > Edit > Delete PIM Instance, 

luego haga clic en OK en el mensaje de confirmación. 

CLI 

unset vrouter trust-vr protocol pim 

deleting PIM instance, are you sure? y/[n] y 

save 

Configuración de PIM-SM en dispositivos de seguridad 181


Habilitar y deshabilitar PIM-SM en interfaces 

Directivas de grupo multicast 

182 Configuración de PIM-SM en dispositivos de seguridad 

De forma predeterminada, PIM-SM está inhabilitado en todas las interfaces. 

Después de crear y habilitar el PIM-SM en un enrutador virtual, debe habilitar el 

PIM-SM en las interfaces de ese enrutador virtual que transmiten tráfico de datos 

multicast. Si una interfaz está conectada con un receptor, también debe configurar 

IGMP en modo enrutador en esa interfaz. (Para obtener información sobre IGMP, 

consulte “Protocolo IGMP” en la página 145). 

Cuando habilita el PIM-SM en una interfaz que está asociada a una zona, el PIM-SM 

se habilita automáticamente en la zona a la que pertenece dicha interfaz. A 

continuación, puede configurar los parámetros PIM-SM para dicha zona. De forma 

similar, cuando se inhabilitan parámetros PIM-SM de interfaces en una zona, todos 

los parámetros PIM-SM relacionados con dicha zona se eliminan automáticamente. 

Habilitar PIM-SM en una interfaz 

En este ejemplo habilitará PIM-SM en la interfaz ethernet1. 

WebUI 

Network > Interfaces > Edit (para ethernet1) > PIM: Introduzca los siguientes 


PIM Instance: (seleccione) 

Protocol PIM: Enable (seleccione) 

CLI 

set interface ethernet1 protocol pim 

set interface ethernet1 protocol pim enable 

save 

Inhabilitar PIM-SM en una interfaz 

En este ejemplo deshabilitará PIM-SM en la interfaz ethernet1. Recuerde que 

cualquier otra interfaz en la que haya habilitado PIM-SM todavía sigue 

transmitiendo y procesando los paquetes PIM-SM. 

WebUI 

Network > Interfaces > Edit (para ethernet1) > PIM: Desactive Protocol PIM 

Enable, luego haga clic en Apply. 

CLI 

unset interface ethernet1 protocol pim enable 

save 

De forma predeterminada, los dispositivos de seguridad no permiten que los 

mensajes de tráfico de control multicast, como por ejemplo mensajes PIM-SM, 

pasen de una zona a otra. Debe configurar una directiva de grupo multicast para 

permitir que los mensajes PIM-SM pasen de una zona a otra. Las directivas de grupo 

multicast controlan dos tipos de mensajes PIM-SM: los mensajes static-RP-BSR y 

mensajes join-prune.

Mensajes Static-RP-BSR 


Los mensajes Static-RP-BSR contienen información sobre los puntos de encuentro 

estáticos (RP) y las asignaciones de grupo RP dinámicas. La configuración de una 

directiva multicast, que permita asignaciones estáticas de RP y mensajes bootstrap 

(BSR) de una zona a otra, habilita el dispositivo de seguridad para que comparta las 

asignaciones de grupo RP de una zona a otra dentro de un enrutador virtual o entre 

dos enrutadores virtuales. Los enrutadores son capaces de memorizar las 

asignaciones de grupos RP de otras zonas, de modo que no tenga que configurar los 

RP en todas las zonas. 

Cuando el dispositivo de seguridad recibe un mensaje BSR, comprueba que venga 

de su vecino de reenvío por rutas inversas (RPF). A continuación comprueba si hay 

directivas multicast para los grupos multicast del mensaje BSR. Filtra los grupos que 

no estén autorizados en la directiva multicast y envía el mensaje BSR a los grupos 

permitidos en todas las zonas de destino que están autorizadas por la directiva. 

Mensajes Join-Prune 

Las directivas de grupo multicast también controlan los mensajes join-prune. 

Cuando el dispositivo de seguridad recibe un mensaje join-prune para un origen y 

grupo o un origen y RP en su interfaz de sentido descendente, consulta en el RPF 

vecino y la interfaz de la tabla de enrutamiento unicast. 

Si la interfaz RPF se encuentra en la misma zona que la interfaz en sentido 

descendente, la validación de la directiva multicast no es necesaria. 

Si la interfaz RPF se encuentra en otra zona, el dispositivo de seguridad 

comprueba si hay una directiva multicast que permita mensajes join-prune 

para el grupo entre la zona de interfaz en sentido descendente y la zona de 

la interfaz RPF. 

Si hay una directiva multicast que permite mensajes join-prune entre las 

dos zonas, el dispositivo de seguridad reenvía el mensaje a la interfaz 

del RPF. 

Si no hay directiva multicast que permita mensajes join-prune entre las 

dos zonas, se descarta el mensaje join-prune. 

Definir de una directiva de grupo multicast para PIM-SM 

En este ejemplo, definirá una directiva de grupo multicast bidireccional que permita 

todos los mensajes PIM-SM entre las zonas Trust y Untrust para el grupo 224.4.4.1. 

WebUI 

Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y 




PIM Message: (seleccione) 

BSR-Static RP: (seleccione) 

Join/Prune: (seleccione) 

CLI 


pim-message bsr-static-rp join-prune bi-directional 

save 

Configuración de PIM-SM en dispositivos de seguridad 183


Ajustar una configuración de PIM-SM básica 

184 Ajustar una configuración de PIM-SM básica 

Un dispositivo de seguridad puede funcionar como un punto de encuentro (RP), 

como un enrutador designado de origen (DR), como un receptor DR y como un 

enrutador intermedio. No puede funcionar como un enrutador bootstrap. 

Puede configurar PIM-SM en un enrutador virtual (VR) o a través de dos 

enrutadores virtuales. Realice los siguientes pasos para configurar PIM-SM en 

un enrutador virtual: 

1. Configure las zonas y las interfaces. 

2. Configure rutas estáticas o un protocolo de enrutamiento dinámico, como por 

ejemplo Routing Information Protocol (RIP), Border Gateway Protocol (BGP) o 

Open Shortest Path First (OSPF), en un enrutador virtual específico del 

dispositivo de seguridad. 

3. Cree una directiva de cortafuegos para que el tráfico de datos unicast y 

multicast pase de una zona a otra. 

4. Cree y habilite una instancia de enrutamiento PIM-SM en el mismo enrutador 

virtual en el que haya configurado las rutas estáticas o un protocolo del 

enrutamiento dinámico. 

5. Habilite PIM-SM en interfaces que reenvíen el tráfico en sentido ascendente 

hacia el origen o el RP, y en sentido descendente hacia los receptores. 

6. Habilite IGMP en las interfaces conectadas a los hosts. 

7. Configure una directiva multicast para permitir que los mensajes de PIM-SM 

pasen de una zona a otra. 

Cuando configure PIM-SM entre dos enrutadores virtuales, debe configurar el RP en 

la zona del enrutador virtual en la que se encuentre el RP. A continuación, configure 

una directiva de grupo multicast que permita los mensajes join-prune y los 

mensajes BSR-static-RP entre las zonas en cada enrutador virtual. También debe 

exportar las rutas unicast entre los dos enrutadores virtuales para asegurar la 

exactitud de la información de reenvío por rutas inversas (RPF). Para obtener 

información acerca de la exportación de rutas, consulte “Exportar e importar rutas 

entre enrutadores virtuales” en la página 44. 

NOTA: Si un dispositivo de seguridad se configura con múltiples enrutadores virtuales, 

todos los enrutadores virtuales deben tener las mismas opciones PIM-SM. 

Algunos dispositivos de seguridad de Juniper Networks admiten varios sistemas 

virtuales. (Para obtener más información acerca de los sistemas virtuales, consulte 

el Volumen 10: Sistemas virtuales). La configuración de PIM-SM en un sistema virtual 

es igual que la configuración de PIM-SM en el sistema raíz. Si va a configurar 

PIM-SM en dos enrutadores virtuales que se encuentran en sistemas virtuales 

diferentes, debe configurar un proxy RP. (Para obtener información sobre la 

configuración de un proxy RP, consulte “Configurar de un punto de encuentro del 

proxy” en la página 198).

Figura 34: Configuración PIM-SM básica 

ethernet1 

10.1.1.1/24 


En este ejemplo, configurará PIM-SM en un enrutador trust-vr. Desea que los hosts 

de la zona Trust reciban tráfico de datos multicast para el grupo multicast 

224.4.4.1/32. Configurará el RIP como el protocolo de enrutamiento unicast en el 

enrutador trust-vr y cree una directiva de cortafuegos para permitir el tráfico de 

datos entre las zonas Trust y Untrust. Creará una instancia PIM-SM en el enrutador 

trust-vr y habilitará PIM-SM en ethernet1 y ethernet2 en la zona Trust, y en 

ethernet3 en la zona Untrust. Todas las interfaces están en modo de ruta. A 

continuación, configurará IGMP en ethernet1 y ethernet2, que están conectados 

con los receptores. Finalmente, creará una directiva multicast que permita los 

mensajes static-RP-BSR y join-prune entre las zonas. 

ethernet3 

1.1.1.1/24 

Origen 

Receptores 

Enrutador 

designado 

Zona Untrust 

Punto de 

encuentro 

Zona Trust ethernet2 

10.1.2.1/24 

Enrutador 

bootstrap 

Receptores 

Ajustar una configuración de PIM-SM básica 185


WebUI 























en OK: 




Zone: Trust 


en OK: 




Zone: Untrust 

3. IGMP 








Protocol IGMP: Enable (seleccione)


4. RIP 

Network > Routing > Virtual Router (trust-vr) > Edit > Create RIP Instance: 

Seleccione Enable RIP y haga clic en OK. 

Network > Interfaces > Edit (para ethernet3) > RIP: Introduzca los siguientes 


RIP Instance: (seleccione) 

Protocol RIP: Enable (seleccione) 

5. PIM-SM 

Network > Routing > Virtual Router (trust-vr) > Edit > Create PIM Instance: 

Seleccione los siguientes datos, luego haga clic en OK. 














6. Directivas 







Service: any 








BSR Static RP: (seleccione) 


Ajustar una configuración de PIM-SM básica 187


CLI 













set address untrust source-dr 6.6.6.1/24 

3. IGMP 





4. RIP 



set interface ethernet3 protocol rip enable 

5. PIM-SM 

set vrouter trust-vr protocol pim 

set vrouter trust-vr protocol pim enable 







6. Directivas 

set policy from untrust to trust source-dr mgroup1 any permit 


set multicast-group-policy from trust mgroup 224.4.4.1/32 any to untrust 

pim-message bsr-static-rp join bi-directional 

save

Comprobar la configuración 


Para verificar la configuración de PIM-SM, ejecute el comando siguiente: 

ns-> get vrouter trust protocol pim 

PIM-SM enabled 

Number of interfaces : 1 

SPT threshold : 1 Bps 

PIM-SM Pending Register Entries Count : 0 

Multicast group accept policy list: 1 

Virtual Router trust-vr - PIM RP policy 

-------------------------------------------------- 

Group Address RP access-list 

Virtual Router trust-vr - PIM source policy 

-------------------------------------------------- 

Group Address Source access-list 

Para visualizar las entradas de la ruta multicast, ejecute el comando siguiente: 

ns-> get igmp group 

total groups matched: 1 

multicast group interface last reporter expire ver 

*224.4.4.1 trust 0.0.0.0 ------ v2 

ns->get vrouter trust protocol pim mroute 

trust-vr - PIM-SM routing table 

----------------------------------------------------------------------------- 

Register - R, Connected members - C, Pruned - P, Pending SPT Alert - G 

Forward - F, Null - N, Negative Cache - E, Local Receivers - L 

SPT - T, Proxy-Register - X, Imported - I, SGRpt state - Y, SSM Range Group - S 

Turnaround Router - K 

----------------------------------------------------------------------------- 

Total PIM-SM mroutes: 2 

(*, 236.1.1.1) RP 20.20.20.10 01:54:20/- Flags: LF 




Downstream : 

ethernet1/2 01:54:20/- Join 0.0.0.0 FC 

(10.10.10.1/24, 238.1.1.1) 01:56:35/00:00:42 Flags: TLF Register Prune 

Zone : Trust 



Downstream : 

ethernet1/2 01:54:20/- Join 236.1.1.1 20.20.20.200 FC 

Comprobar la configuración 189


190 Comprobar la configuración 

En cada entrada de la ruta puede verificar lo siguiente: 

El estado (S, G) o estado de reenvío (*, G) 

Si el estado de reenvío es (*, G), la dirección IP del RP; si el estado de reenvío es 

(S, G), la dirección IP de origen 

Zona que posee la ruta 

El estado de “conexión” y las interfaces entrantes y salientes 

Valores del temporizador 

Para visualizar los puntos de encuentro en cada zona, ejecute el comando siguiente: 

ns-> get vrouter trust protocol pim rp 

Flags: I - Imported, A - Always(override BSR mapping) 

C - Static Config, P - Static Proxy 

----------------------------------------------------------------------------- 

Trust 

238.1.1.1/32 RP: 10.10.10.10 192 Static - C 

Registering : 0 

Active Groups : 1 

238.1.1.1 

Untrust 

236.1.1.1/32 RP: 20.20.20.10 192 Static - P 

Registering : 0 

Active Groups : 1 

236.1.1.1 

Para verificar que hay un vecino de reenvío por rutas inversas, ejecute el comando 

siguiente: 

ns-> get vrouter trust protocol pim rpf 

Flags: RP address - R, Source address - S 

Address RPF Interface RPF Neighbor Flags 

------------------------------------------------------- 

10.10.11.51 ethernet3 10.10.11.51 R 

10.150.43.133 ethernet3 10.10.11.51 S 

Para visualizar el estado de los mensajes join-prune que el dispositivo de seguridad 

envía a cada vecino de un enrutador virtual, ejecute el comando siguiente: 

ns-> get vrouter untrust protocol pim join 

Neighbor Interface J/P Group Source 

--------------------------------------------------------------------- 

1.1.1.1 ethernet4:1 (S,G) J 224.11.1.1 60.60.0.1 

(S,G) J 224.11.1.1 60.60.0.1

Configurar puntos de encuentro 


Puede configurar un punto de encuentro (RP) estático si desea asociar un RP 

específico a uno o más grupos multicast. Puede configurar múltiples RP estáticos 

con cada RP asignado a un grupo multicast diferente. 

Debe configurar un RP estático cuando en la red no haya enrutador bootstrap. 

Aunque un dispositivo de seguridad puede recibir y procesar mensajes bootstrap, 

no realiza funciones de enrutador bootstrap. 

Puede configurar un enrutador virtual como RP candidato (C-RP) cuando desee 

asignar RP a grupos multicast de forma dinámica. Puede crear un C-RP para 

cada zona. 

Configurar de un punto de encuentro estático 

Cuando configure un RP estático, debe especifica lo siguiente: 

La zona del RP estático 

La dirección IP del RP estático 

Una lista de accesos que define los grupos multicast del RP estático (Para 

obtener información sobre las listas de accesos, consulte “Listas de acceso” en 

la página 141). 

Para asegurarse de que los grupos multicast de la lista de acceso siempre utilicen el 

mismo RP, incluya la palabra clave always. Si no incluye esta palabra clave, y el 

dispositivo de seguridad descubre que hay otro RP asignado dinámicamente a los 

mismos grupos multicast, utilizará el RP dinámico. 

En este ejemplo, creará una lista de accesos para el grupo multicast 224.4.4.1, y a 

continuación creará un RP estático para dicho grupo. La dirección IP del RP estático 

es 1.1.1.5/24. Especifique la palabra clave always para asegurarse de que el 

dispositivo de seguridad utilice siempre el mismo RP para eso. 

WebUI 





IP/Netmask: 224.4.4.1/32 


Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance > 

RP Address > New: Introduzca los siguientes datos y haga clic en OK: 

Zone: Trust (seleccione) 

Address:1.1.1.5 

Access List: 2 

Always: (seleccione) 

CLI 


set vrouter trust-vr protocol pim zone trust rp address 1.1.1.5 mgroup-list 2 always 

save 

Configurar puntos de encuentro 191


Configurar de un punto de encuentro candidato 

192 Configurar puntos de encuentro 

Cuando configura un enrutador virtual como RP candidato, debe especificar 

lo siguiente: 

La zona en la que se configura el C-RP 

La dirección IP de la interfaz que se notifica como C-RP 

Una lista de acceso que define los grupos multicast del C-RP 

La prioridad de C-RP notificada 

En este ejemplo, habilitará PIM-SM en la interfaz ethernet1 que está asocidad a la 

zona Trust. Creará una lista de acceso que defina los grupos multicast del C-RP. A 

continuación creará un C-RP en la zona Trust del enrutador trust-vr. Establecerá la 

prioridad del C-RP a 200. 

WebUI 









IP/Netmask: 224.2.2.1/32 


Select Add No Seq: Introduzca los siguientes datos y haga clic en OK: 


IP/Netmask: 224.3.3.1/32 



RP Candidate > Edit (Trust Zone): Seleccione los siguientes datos, luego haga 

clic en OK. 


Access List: 1 (seleccione) 

Priority: 200 

CLI 





set vrouter trust-vr protocol pim zone trust rp candidate interface ethernet1 

mgroup-list 1 priority 200 

save

Consideraciones sobre seguridad 

Restringir grupos multicast 


Al ejecutar PIM-SM, hay algunas opciones que se pueden configurar en un 

enrutador virtual (VR) para controlar el tráfico hacia y desde el enrutador virtual. 

Los ajustes definidos en el enrutador virtual afectan a todas las interfaces PIM-SM 

habilitadas en el enrutador virtual. 

Cuando una interfaz recibe mensajes de tráfico de control multicast (mensajes 

IGMP o PIM-SM) de otras zonas, del dispositivo de seguridad comprueba primero si 

hay una directiva multicast que permita dicho tráfico. Si el dispositivo de seguridad 

encuentra una directiva multicast que permita el tráfico, comprueba las opciones 

del enrutador virtual que se pudieran aplicar al tráfico. Por ejemplo, si configura el 

enrutador virtual para aceptar mensajes join-prune desde grupos multicast 

especificados en una lista de acceso, el dispositivo de seguridad comprueba si dicho 

tráfico es para un grupo multicast de la lista. Si es así, el dispositivo permite el 

tráfico. Si no lo es, el dispositivo descarta el tráfico. 

Puede restringir un VR para que sólo reenvíe mensajes join-prune de PIM-SM de un 

conjunto de grupos multicast determinado. Indique los grupos multicast 

autorizados en una lista de accesos. Cuando utilice esta característica, el VR 

descarta los mensajes join-prune que son para los grupos que no están en la lista de 

acceso. 

En este ejemplo, creará una lista de acceso con en número de identificación 1 que 

autoriza a los siguientes grupos: 224.2.2.1/32 y 224.3.3.1/32. A continuación, 

configure el enrutador trust-vr para aceptar mensajes join-prune de los grupos 

multicast que se encuentran en la lista de acceso. 

Consideraciones sobre seguridad 193


194 Consideraciones sobre seguridad 

WebUI 



CLI 

Restringir orígenes multicast 



IP/Netmask: 224.2.2.1/32 




IP/Netmask: 224.3.3.1/32 


Network > Routing > Virtual Router (trust-vr) > Edit > Edit PIM Instance: 

Seleccione los siguientes datos y haga clic en Apply: 

Access Group: 1 (seleccione) 



set vrouter trust-vr protocol pim accept-group 1 

save 

Puede controlar los orígenes desde los que un grupo multicast recibe datos. 

Identifique el origen, u orígenes, permitido en una lista de acceso, a continuación 

vincule la lista de acceso a los grupos multicast. Esto evita que orígenes no 

autorizados envíen datos a su red. Si utiliza esta característica, el dispositivo de 

seguridad descarta datos multicast de los orígenes que no se encuentran en la 

lista. Si el enrutador virtual es el punto de encuentra de la zona, comprobará la 

lista de acceso antes de aceptar un mensaje REGISTER de un origen. El 

dispositivo de seguridad descarta los mensajes REGISTER que no provienen 

de un origen autorizado. 

En este ejemplo, primero creará una lista de acceso con el número de identificación 

5, que especifica el origen autorizado 1.1.1.1/32. A continuación configurará el 

enrutador trust-vr para que acepte datos multicast para el grupo multicast 

224.4.4.1/32 desde el origen especificado en la lista de acceso. 

WebUI 





IP/Netmask: 1.1.1.1/32 



MGroup: Seleccione los siguientes datos y haga clic en Add: 

MGroup: 224.4.4.1/32 

Accept Source: 5 (seleccione)

CLI 

Restringir puntos de encuentro 



set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-source 5 

save 

Puede controlar que puntos de encuentro (RPS) están asignados a un grupo 

multicast. Identifique los RP autorizados en una lista de acceso, a continuación 

vincule la lista de acceso a los grupos multicast. Cuando el enrutador virtual (VR) 

recibe un mensaje bootstrap para un determinado grupo, comprueba la lista de la 

RP autorizados para dicho grupo. Si no encuentra una coincidencia, no selecciona 

ningún RP para el grupo multicast. 

En este ejemplo, creará una lista de accesos con el número de identificación 6, que 

especifica el RP autorizado, 2.1.1.1/32. A continuación, configurará el enrutador 

trust-vr para que acepte el RP de la lista de acceso para el grupo multicast 

224.4.4.1/32. 

WebUI 





IP/Netmask: 2.1.1.1/32 



MGroup: Seleccione los siguientes datos y haga clic en Add: 

MGroup: 224.4.4.1/32 

Accept RP: 6 (seleccione) 

CLI 


set vrouter trust-vr protocol pim mgroup 224.4.4.1/32 accept-rp 6 

save 

Consideraciones sobre seguridad 195


Parámetros de la interfaz PIM-SM 

196 Parámetros de la interfaz PIM-SM 

Puede cambiar ciertos elementos predeterminados de cada interfaz en la que 

habilite PIM-SM. Cuando ajuste los parámetros en este nivel, únicamente afectará 

a la interfaz que usted especifique. 

La Tabla 18 describe los parámetros de la interfaz PIM-SM y sus valores 

predeterminados: 

Tabla 18: Parámetros PIM-SIM 

Definir una directiva de vecindad 

Parámetros de la interfaz 

PIM-SIM Descripción 

Neighbor policy Controla adyacencias vecinas. Para 

obtener información adicional, consulte 

“Definir una directiva de vecindad” en la 

página 196. 

Hello interval Especifica el intervalo en el que la 

interfaz envía mensajes de saludo a sus 

enrutadores vecinos. 

Designates route priority Especifica la prioridad de la interfaz 

para la elección del enrutador 

designado. 

Join-Prune Interval Especifica el intervalo, en segundos, en 

el que la interfaz envía mensajes 

join-prune. 

Bootstrap border Especifica que la interfaz es un borde 

bootstrap. Para obtener información 

adicional, consulte “Definir un borde 

bootstrap” en la página 197. 

Puede controlar los elementos vecinos con los que una interfaz puede formar una 

adyacencia. Los enrutadores PIM-SM envían periódicamente mensajes de saludo 

para anunciarse como enrutadores PIM-SM. Si utiliza esta característica, la interfaz 

comprueba su lista de vecinos autorizados o rechazados y forma adyacencias con 

aquellos que estén autorizados. 

En este ejemplo, se creará una lista de acceso que especifique lo siguiente: 

El número de identificación es 1. 

La primera instrucción permite 2.1.1.1/24. 

La segunda instrucción permite 2.1.1.3/24. 

Valor 


Desactivado 

30 segundos 

A continuación, especificará que ethernet1 puede formar una adyacencia con los 

vecinos de la lista de acceso. 

1 

60 segundos 

Desactivado


WebUI 



CLI 

Definir un borde bootstrap 



IP/Netmask: 2.1.1.1/24 




IP/Netmask: 2.1.1.3/24 




Accepted Neighbors: 1 



set interface ethernet1 protocol pim neighbor-policy 1 

save 

Una interfaz que es un borde bootstrap (BSR) recibe y procesa mensajes BSR, pero 

no los reenvía a otras interfaces aunque tengan una directiva de grupo multicast 

que autorice mensajes BSR de una zona a otra. Así se asegura que las asignaciones 

RP-a-grupo permanezcan siempre dentro de una zona. 

En este ejemplo, configurará ethernet1 como borde bootstrap. 

WebUI 

Network > Interfaces > Edit (para ethernet1) > PIM: Seleccione Bootstrap 

Border, luego haga clic en Apply. 

CLI 

set interface ethernet1 protocol pim boot-strap-border 

save 

Parámetros de la interfaz PIM-SM 197


Configurar de un punto de encuentro del proxy 

198 Configurar de un punto de encuentro del proxy 

Un dominio PIM-SM es un grupo de enrutadores PIM-SM que poseen las mismas 

asignaciones de punto de encuentro (RP) a grupo. En un dominio PIM-SM con 

asignaciones RP-group dinámicas, los enrutadores PIM-SM de un dominio escuchan 

los mensajes del mismo enrutador bootstrap (BSR) para seleccionar sus 

asignaciones RP-group. En un dominio PIM-SM con asignaciones RP-group 

estáticas, debe configurar el RP estático en cada enrutador en el dominio. (Para 

obtener información sobre asignaciones RP-group, consulte “Configurar puntos de 

encuentro” en la página 191). 

En los dispositivos de seguridad de Juniper Networks, las interfaces asociadas a 

zonas de capa 3 se pueden ejecutar en modo NAT o en modo de ruta. Para ejecutar 

PIM-SM en un dispositivo con interfaces que funcionan en modos diferentes, cada 

zona deben encontrarse en un dominio PIM-SM diferente. Por ejemplo, si las 

interfaces de la zona Trust están en modo NAT y las interfaces de la zona Untrust 

están en modo de ruta, cada zona deben encontrarse en un dominio PIM-SM 

diferente. Además, al configurar PIM-SM a través de dos enrutadores virtuales que 

se encuentran en dos sistemas virtuales diferentes, cada enrutador virtual debe 

estar en un dominio PIM-SM independiente. 

Puede notificar grupos multicast desde un dominio PIM-SM a otro configurando un 

RP proxy. Un RP proxy actúa como un RP para grupos multicast memorizado de 

otro dominio PIM-SM, ya sea a través de un RP estático o a través de mensajes 

bootstrap autorizados por la directiva de grupo multicast. Para los receptores de su 

dominio, funciona como la raíz del árbol de distribución compartido y puede 

formar el árbol de ruta más corta al origen. 

Puede configurar un RP proxy por cada zona en un enrutador virtual. Para 

configurar un RP proxy en una zona, debe configurar un RP candidato(C-RP) en 

dicha zona. A continuación, el dispositivo de seguridad notifica la dirección IP del 

C-RP como la dirección IP del RP proxy. Cuando configure el C-RP, no especifique 

ningún grupo multicast en la lista de grupo multicast. Esto permite que el C-RP 

actúe como el RP proxy de cualquier grupo importado de otra zona. Si especifica 

grupos multicast, el C-RP funciona como el RP verdadero para los grupos 

especificados en la lista. 

Si hay un BSR en la zona, el RP proxy se notifica a si mismo como el RP para los 

grupos multicast importados de otras zonas. Si no hay BSR en la zona del RP proxy, 

éste funciona como el RP estático para los grupos multicast importados de otras 

zonas. A continuación debe configurar la dirección IP del C-RP como el RP estático 

en todos los demás enrutadores de la zona. 

El RP proxy admite el uso de IPs asignadas (MIP) para la traducción de la dirección 

de origen. Una MIP es una asignación directa (“1:1”) de una dirección IP a otra. 

Puede configurar una MIP cuando desee que el dispositivo de seguridad traduzca a 

otra dirección una dirección privada de una zona cuyas interfaces estén en modo 

NAT. Cuando un host de la MIP en la zona de un proxy RP envía un mensaje 

REGISTER, el dispositivo de seguridad traduce el origen IP a dirección MIP y envía 

un nuevo mensaje REGISTER al RP verdadero. Cuando el dispositivo de seguridad 

recibe el mensaje join-prune para una dirección MIP, el dispositivo asigna la MIP a la 

dirección origen inicial y la envía al origen.


El RP proxy también admite la traducción de direcciones de grupos multicast entre 

las zonas. Puede configurar una directiva multicast que especifique la dirección 

original del grupo multicast y la dirección del grupo multicast traducida. Cuando el 

dispositivo de seguridad recibe un mensaje join-prune en una interfaz de la zona del 

RP proxy, traduce el grupo multicast, si es necesario, y envía el mensaje adjunto al 

RP verdadero. 

Considere el caso siguiente: 

ethernet1 en la zona Trust está en modo NAT, y ethernet3 en la zona Untrust 

está en modo de ruta. 

Hay una MIP para el origen en la zona Trust. 

El origen en la zona Trust envía tráfico multicast al grupo multicast 

224.4.4.1/32. 

Hay receptores tanto en la zona Trust como en la zona Untrust. 

Hay una directiva multicast que permite el paso de mensajes PIM-SM entre las 

zonas Trust y Untrust. 

La zona Trust se configura como el RP proxy. 

El RP y el BSR están en la zona Untrust. 

Figura 35: Ejemplo de punto de encuentro del proxy 

Origen 

Zona Trust 

Enrutador 

designado (DR) 

Receptores 

ethernet1 

modo NAT 

ethernet3 

modo de ruta 

A continuación se indica el flujo de datos: 

1. El origen envía datos al grupo multicast 224.4.4.1/32. 

Zona Untrust 

Punto de 

encuentro (RP) 

Receptores 

Enrutador 

bootstrap 

(BSR) 

2. El enrutador designado (DR) encapsula los datos y envía mensajes REGISTER 

hacia el RP. 

3. El proxy del RP de la zona Trust recibe el mensaje REGISTER, y cambia a 

dirección IP del origen inicial a la dirección IP de la MIP. A continuación reenvía 

el mensaje hacia el RP para el grupo multicast. 

Configurar de un punto de encuentro del proxy 199



4. El proxy RP envía entradas (*, G) al RP real. 

5. Los receptores de la zona Trust envían mensajes adjuntos al RP proxy. 

6. El RP proxy envía los paquetes multicast a los receptores de la zona Trust. 

Para configurar un RP proxy, debe hacer el siguiente: 

1. Cree una instancia PIM-SM en un enrutador virtual específico. 

2. Habilite PIM-SM en las interfaces apropiadas. 

3. Configure el RP candidato en la zona del proxy RP. 

4. Configure el RP proxy. 

Figura 36: Ejemplo de configuración del RP proxy 

Origen 

Punto de 

encuentro 

real 

Zona Trust 

Receptores 

Enrutador 

bootstrap 

En este ejemplo, los dispositivos de seguridad NS1 y el NS2 están conectados a 

través de un túnel VPN. Ambos dispositivos ejecutan el protocolo de enrutamiento 

dinámico, BGP. Configure PIM-SM en ethernet1 y tunnel.1 en NS1 y en NS2. A 

continuación, en NS2, configure ethernet1 como RP estático, y cree un RP proxy en 

la zona Trust del enrutador trust-vr. 

Zona Untrust 

NS1 

ethernet1 

10.2.2.1/24 



tunnel.1 

ethernet3 

4.1.1.1/24 

VPN 

ethernet3 

2.2.2.2/24 


tunnel.1 


ethernet1 

10.4.1.1/24 

NS2 

Zona Untrust 

Zona Trust 

Punto de 

encuentro 

del proxy 

Receptores

WebUI (NS1) 


1. Interfaces 








Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos 






clic en OK: 







en OK: 




Zone: Trust 


en OK: 

Address Name: branch 



Zone: Untrust 

3. PIM-SM 


Seleccione Protocol PIM: Enable, luego haga clic enOK. 








Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes 




4. VPN 


y haga clic en OK. 

Gateway Name: To_Branch 







Return para regresar a la página de configuración básica de puerta de 

Gateway: 


Phase 1 Proposal (For Compatible Security Level): pre-g2-3des-sha 


5. BGP 





Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP 

Instance. 



Network > Routing > Virtual Router (trust-vr) > Edit > Edit BGP Instance > 

Neighbors: Introduzca los siguientes datos y haga clic en Add: 


Remote IP: 4.1.1.1 



Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione 

Peer Enabled y luego haga clic en OK. 


Networks: Escriba 2.2.2.0/24 en el campo IP/Netmask, luego haga clic en Add. 

A continuación, introduzca 10.2.2.0/24 en el campo IP/Netmask, y haga clic en 

Add de nuevo. 

Network > Interfaces > Edit (para ethernet3) > BGP: Introduzca los siguientes 


Protocol BGP: Enable (seleccione)


6. Directivas 




Address Book Entry: (seleccione), branch 



Service: any 





WebUI (NS2) 

MGroup Address: IP/Netmask (seleccione), 224.4.4.1/32 



BSR Static IP: (seleccione) 


1. Interfaces 






Seleccione NAT y luego haga clic en Apply. 

> IGMP: Introduzca los siguientes datos y haga clic en Apply: 

IGMP Mode: Router 








clic en OK: 










en OK: 




Zone: Trust 


en OK: 

Address Name: corp 



Zone: Untrust 

3. PIM-SM 


Seleccione Protocol PIM: Enable, luego haga clic enOK. 





Network > Interfaces > Edit (para tunnel.1) > PIM: Introduzca los siguientes 





RP Address > New: Introduzca los siguientes datos y haga clic en OK: 

Zone: Trust (seleccione) 

Address: 10.4.1.1/24 

4. VPN 



Gateway Name: To_Corp 







Return para regresar a la página de configuración básica de Gateway: 



Mode (Initiator): Main (Protección de la identificación)


5. BGP 





Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create BGP 

Instance. 




Neighbors: Introduzca los siguientes datos y haga clic en Add: 


Remote IP: 2.2.2.2 



Neighbors > Configure (para el interlocutor que acabe de agregar): Seleccione 

Peer Enabled y luego haga clic en OK. 


Networks: 

En el campo IP/Netmask, introduzca 4.1.1.0/24 y luego haga clic en Add. 

En el campo IP/Netmask, introduzca 10.4.1.0/24, luego haga clic en Add. 

Network > Interfaces > Edit (para ethernet3) > BGP: Seleccione Protocol 

BGP: Enable, luego haga clic en Apply. 

6. Directivas 




Address Book Entry: (seleccione), corp 



Service: any 





MGroup Address: IP/Netmask (seleccione), 224.4.4.1/32 



BSR Static IP: (seleccione) 




CLI (NS1) 


1. Interfaces 









set address untrust branch 10.4.1.0/24 

3. PIM-SM 


set vrouter trust-vr protocol pim enable 



set interface tunnel.1 protocol pim 

set interface tunnel.1 protocol pim enable 

4. Túnel VPN 

set ike gateway To_Branch address 4.1.1.1 main outgoing-interface ethernet3 


set vpn Corp_Branch gateway To-Branch3 sec-level compatible 

set vpn Corp_Branch bind interface tunnel.1 

set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.4.1.0/24 

5. BGP 




set vrouter trust-vr protocol bgp neighbor 4.1.1.1 

set vrouter trust-vr protocol bgp network 2.2.2.0/24 


set interface ethernet3 protocol bgp enable 

set interface ethernet3 protocol bgp neighbor 4.1.1.1 

6. Directivas 

set policy name To-Branch from untrust to trust branch any any permit 




save 

CLI (NS2) 

1. Interfaces 








set interface tunnel.1 ip unnumbered interface ethernet3

PIM-SM e IGMPv3 



set address untrust corp 2.2.2.0/24 


3. PIM-SM 

set vrouter trust protocol pim 



set interface tunnel.1 protocol pim 

set interface tunnel.1 protocol pim enable 

set vrouter trust protocol pim zone trust rp proxy 

set vrouter trust protocol pim zone trust rp candidate interface ethernet1 

set vrouter trust protocol pim enable 

4. Túnel VPN 

set ike gateway To_Corp address 2.2.2.2 main outgoing-interface ethernet3 


set vpn Branch_Corp gateway To_Corp sec-level compatible 

set vpn Branch_Corp bind interface tunnel.1 

set vpn Branch_Corp proxy-id local-ip 10.4.1.0/24 remote-ip 10.2.2.0/24 

5. BGP 




set vrouter trust-vr protocol bgp neighbor 2.2.2.2 



set interface ethernet3 protocol bgp neighbor 2.2.2.2 

6. Directivas 

set policy name To-Corp from untrust to trust corp any any permit 




save 

Los dispositivos NetScreen admiten las versiones 1, 2 y 3 de IGMP (Internet Group 

Management Protocol). Si ejecuta PIM-SM con interfaces en IGMP v1 o v2, los hosts 

que reciben los datos para un grupo multicast pueden recibir datos desde cualquier 

origen que envíe datos al grupo multicast. Los informes de miembros de IGMP v1 y 

v2 sólo indican con qué grupos multicast desean unirse los hosts. No contienen 

información sobre los orígenes del tráfico de datos multicast. Cuando PIM-SM 

recibe informes de miembros IGMP v1 y v2, crea entradas (*, G) en la tabla de rutas 

multicast, permitiendo que cualquier origen realice envíos al grupo multicast. A 

esto se le llama modelo any-source-multicast (ASM), donde los receptores se unen a 

un grupo multicast sin conocer del origen que envía datos al grupo. La red cuenta 

con la información sobre el origen. 

Los hosts que ejecutan IGMPv3 indican a qué grupos multicast desean unirse y 

desde qué orígenes esperan recibir tráfico multicast. El informe de miembro 

IGMPv3 contiene la dirección del grupo multicast, el modo de filtrado, que es 

“include” o “exclude”, y una lista de orígenes. 

PIM-SM e IGMPv3 207


208 PIM-SM e IGMPv3 

Si el modo de filtrado es include, los receptores aceptan tráfico multicast solamente 

de las direcciones de la lista de origen. Cuando PIM-SM recibe un informe de 

miembros IGMPv3 con una lista de origen y un modo de filtro include, crea 

entradas (S, G) en la tabla de rutas multicast para todos los orígenes de la lista 

de origen. 

Si es el modo de filtro es exclude, los receptores no aceptan tráfico multicast de 

los orígenes que se encuentran en la lista; aceptan tráfico multicast del resto de 

orígenes. Cuando PIM-SM recibe un informe miembros IGMPv3 con la lista de 

origen y un modo de filtro exclude, crea una entrada (*, G) para el grupo y envía un 

mensaje prune para los orígenes de la lista de origen. En este caso, puede ser que 

necesite configurar un punto de encuentro si los receptores no conocen la 

dirección del origen.

Índice 

A 

Áreas OSPF.....................................................................48 

definición .................................................................54 

interfaces, asignación a..........................................55 

B 

BGP 

atributos de ruta ....................................................111 

comunidades .........................................................131 

confederaciones ....................................................130 

configuraciones, seguridad ..................................119 

configuraciones, verificación ...............................118 

enrutador virtual, creación de una 

instancia en .........................................................113 

equilibrio de carga ..................................................38 

expresiones regulares...........................................123 

externos .................................................................111 

interno ....................................................................111 

introducción al protocolo .....................................110 

lista de acceso AS-path .........................................123 

parámetros.............................................................121 

tipos de mensaje ...................................................110 

vecinos, autenticación ..........................................120 

BGP, configuración 

grupos de interlocutores.......................................115 

interlocutores.........................................................115 

pasos.......................................................................112 

BGP, habilitación 

en interfaz..............................................................114 

en VR ......................................................................113 

C 

circuitos de demanda, RIP..........................................101 

configuración punto a multipunto 

OSPF .........................................................................72 

consulta de rutas 

múltiple VR ..............................................................36 

secuencia..................................................................33 

D 

directivas 

multicast.................................................................143 

E 

ECMP.........................................................................38, 62 

Encapsulado genérico de enrutamiento (GRE) ........141 

Enrutadores BGP 

agregar............................................................124, 132 

atributos, configuración........................................125 

notificación condicional........................................124 

peso, establecimiento ...........................................125 

predeterminado, rechazo .....................................120 

redistribución.........................................................122 

reflexión .................................................................128 

supresión ................................................................133 

Enrutadores OSPF 

adyacencia ...............................................................50 

creación de instancia OSPF en enrutador 

virtual .....................................................................53 

designado .................................................................50 

designado de respaldo............................................50 

tipos ..........................................................................49 

Enrutadores RIP 

alternativa ..............................................................100 

rechazo predeterminado ........................................94 

redistribución...........................................................83 

resumen, configuración..........................................99 

enrutadores virtuales 

véase VRs 

enrutamiento estático ...........................................2, 2 a 9 

configuración .............................................................5 

Interfaz nula, reenvío en ........................................10 

multicast.................................................................140 

utilización ...................................................................3 

enrutamiento multicast 

IGMP .......................................................................145 

PIM..........................................................................173 

enrutamiento según el origen (SBR)............................17 

enrutamiento según la interfaz de origen (SIBR) .......20 

enrutamiento, multicast..............................................137 

equilibrio de cargas según coste de cada ruta......38, 62 

I 

IGMP 

configuración, básica ............................................151 

configuración, verificación...................................153 

consultador ............................................................148 

directivas, multicast ..............................................160 

interfaces, habilitar en ..........................................149 

listas de accesos, uso ............................................150 

mensajes de host...................................................147 

parámetros.....................................................153, 154 

Índice IX-I

Concepts & Examples ScreenOS Reference Guide 

IX-II Índice 

interfaces, habilitar IGMP en...................................... 149 

Interfaz nula, definir rutas con .................................... 10 

Internet Group Management Protocol 

véase IGMP 

L 

listas de acceso 

enrutamiento multicast ........................................ 141 

IGMP ....................................................................... 150 

para rutas................................................................. 42 

PIM-SM ................................................................... 193 

load-balancing by path cost ......................................... 62 

M 

multicast 

árboles de distribución......................................... 176 

direcciones............................................................. 138 

directivas................................................................ 143 

directivas para IGMP............................................. 160 

reenvío por rutas inversas ................................... 138 

rutas estáticas........................................................ 140 

tablas de enrutamiento ........................................ 139 

N 

Números de sistema autónomo (AS) ........................ 113 

O 

Open Shortest Path First 

Consulte OSPF 

OSPF 

área de rutas internas............................................. 49 

área no exclusiva de rutas internas ...................... 49 

conexiones virtuales ............................................... 63 

configuración de seguridad.................................... 67 

ECMP support.......................................................... 62 

equilibrio de carga .................................................. 38 

interfaces, asignación a áreas ............................... 55 

interfaces, túnel....................................................... 72 

inundación, LSA reducida ...................................... 71 

inundaciones, protección contra........................... 70 

LSA, supresión......................................................... 71 

notificaciones de estado de conexiones............... 48 

parámetros de interfaz........................................... 65 

parámetros globales ............................................... 61 

pasos de configuración........................................... 52 

protocolo de saludo ................................................ 50 

punto a multipunto ................................................. 72 

red punto a punto ................................................... 50 

redes de difusión..................................................... 50 

soporte de ECMP..................................................... 62 

tipo de conexión, establecimiento........................ 72 

vecinos, autenticación............................................ 67 

vecinos, filtrado....................................................... 68 

P 

PIM-SM..........................................................................176 

configuración de puntos de encuentro...............191 

configuraciones de seguridad ..............................193 

enrutador designado.............................................177 

IGMPv3 ...................................................................207 

instancias, creación ..............................................181 

parámetros de interfaz .........................................196 

pasos de configuración.........................................180 

proxy RP ................................................................198 

puntos de encuentro.............................................177 

tráfico, reenvío ......................................................178 

PIM-SSM........................................................................180 

Protocol Independent Multicast 

véase PIM 

Protocolo de información de enrutamiento 

véase RIP 

Proxies de IGMP 

emisor.....................................................................167 

en interfaces ..........................................................158 

Proxy de IGMP .............................................................155 

R 

RIP 

autenticación de vecinos........................................92 

base de datos.........................................................100 

configuración de circuito de demanda...............101 

equilibrio de carga ..................................................38 

filtrado de vecinos...................................................93 

instancias, creación en VR .....................................82 

interfaces, habilitar en............................................83 

inundaciones, protección contra...........................95 

parámetros de interfaz ...........................................91 

parámetros globales................................................89 

punto a multipunto ...............................................104 

resumen de prefijo..................................................99 

versiones ..................................................................97 

versiones, protocolo................................................97 

RIP, configuración 

circuitos de demanda ...........................................102 

pasos.........................................................................81 

seguridad..................................................................92 

RIP, visualización 

base de datos...........................................................86 

detalles de interfaz..................................................88 

detalles de protocolo...............................................86 

información de vecinos..........................................87 

rutas 

exportación..............................................................44 

filtrado ......................................................................42 

importar ...................................................................44 

mapas .......................................................................40 

métricas....................................................................32 

preferencia...............................................................31 


selección...................................................................31

Rutas BGP, agregado 

AS-Path en..............................................................134 

AS-Set en ................................................................132 

atributos de ............................................................135 

Rutas BGP, agregar 

agregar....................................................................132 

Rutas OSPF 

predeterminado, rechazo.......................................69 


redistribuido, resumen ...........................................60 

restricción route-deny, inhabilitación...................73 

S 

Supresión de notificaciones de estado de 

conexiones (LSA).........................................................71 

T 

tablas de enrutamiento .................................................15 

búsqueda en múltiples VR .....................................36 

consulta ....................................................................33 

multicast.................................................................139 

selección de rutas....................................................31 

tipos ..........................................................................15 

V 

VR, rutas 

exportación ..............................................................44 

filtrado ......................................................................42 

importar ...................................................................44 

mapas .......................................................................40 

preferencia...............................................................31 


selección...................................................................31 

VR, tablas de enrutamiento 

búsqueda en múltiples VR .....................................36 

consulta ....................................................................33 

entradas máximas ..................................................30 

VRs .......................................................................... 39 a 44 

BGP ............................................................... 112 a 119 

ECMP ........................................................................38 

en vsys......................................................................27 

ID de enrutador .......................................................23 

listas de acceso........................................................42 

métricas de ruta ......................................................32 

modificar..................................................................22 

OSPF ................................................................. 51 a 70 

RIP..................................................................... 81 a 97 

SBR............................................................................17 

SIBR ..........................................................................20 

uso de dos ................................................................24 

Índice 

Índice IX-III

Concepts & Examples ScreenOS Reference Guide 

IX-IV Índice

Enrutamiento - Juniper Networks

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?