SlideShare una empresa de Scribd logo

Protocolo de administracion de grupos de internet

Descargar como DOCX, PDF
Juan Rojas Benites
Juan Rojas Benites
1 de 27
UNIVERSIDAD NACIONACL DE TRUJILLO FACULAD DE INGENIERÍA ESCUELA DE ING. MECATRÓNICA PROTOCOLO DE ADMINISTRACÍON DE GRUPOS DE INTERNET CRUZADO VARGAS JOSUÉ ROJAS BENITES JUAN JOSÉ TRUJILLO-PERU 2013 Ing. Mecatrónica IV CICLO
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA ÍNDICE DEDICATORIA……………………………………………………………………………………………………………………………3 INTRODUCCION………………………………………………………………………………………………………………………..4 1. MARCO TEORICO…………………………………………………………………………………………………………5 1.1. CAPITULO I: DEFINICIONES BÁSICAS………………………………………………………………………….5 1.1.1. ¿Qué es IGMP?.......................................................................................................5 1.1.2. ¿Qué son los HOSTS?..............................................................................................6 1.1.3. Enrutadores Multicast………………………………………………………………………………………..6 1.2. CAPITULO II: IGMP EN DISPOSITIVOS DE SEGURIDAD………………………………………………7 1.2.1. Habilitación e inhabilitación de IGMP en interfaces…………………………………………7 1.2.2. Configuración de una lista de accesos para grupos aceptados………….……………9 1.2.3. Configuración de IGMP………………………………………………………………….……………….10 1.2.4. Verificación de una configuración de IGMP………………………………….……………….12 1.3. CAPITULO III: PROXY DE IGMP………………….….……………………………………………………….13 1.3.1. Configuración del proxy de IGMP…………………………………………….………………………14 1.3.2. Configuración de un proxy de IGMP en una interfaz………….……….……………………17 1.3.3. Directivas multicast para configuraciones de IGMP y proxy de IGMP…..………….19 1.3.4. Configuración de un proxy de remitente de IGMP…………………………….….…………23 CONCLUSIONES………………………………………………………………………………………………………………………27 BIBLIOGRAFÍA…………………………………………………………………………………………………………….............28 REDES DE COMPUTADORAS 2
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA Queremos dedicarle este trabajo A Dios que nos ha dado la vida y fortaleza para terminar este proyecto de investigación, A nuestros padres por estar ahí cuando más los necesitamos y Al Ing. Arturo Díaz por el apoyo académico que nos brindó. REDES DE COMPUTADORAS 3
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA INTRODUCCIÓN El intercambio de información a través de la Internet clásica se realiza de forma unicast, es decir, de uno a uno: un servidor envía información a un cliente. De esta manera, si queremos que la información llegue a más de un usuario tendremos que mandarla tantas veces como usuarios deban recibirla. Si diez usuarios han de recibir un paquete, tendremos que mandar diez paquetes iguales, uno para cada uno. Si tienen que recibirlo mil usuarios, enviaremos mil copias. Esta forma de realizar la transmisión es, obviamente, ineficiente, cuando no imposible, y limita la comunicación entre múltiples usuarios, más aún cuánto mayores sean los recursos a consumir. IGMP (Internet Group Management Protocol) es el protocolo encargado de la gestión de grupos. Para saber qué usuarios están interesados en la información se utiliza el concepto de grupo. Los paquetes de datos no se envían a los usuarios directamente, sino que se envían a una dirección IP que no corresponde a ningún equipo concreto, sino que identifica a un grupo de receptores. Si un usuario quiere recibir información de un grupo debe apuntarse a él enviando un mensaje IGMP. El protocolo se encarga de distribuir la solicitud a través de la red, de manera que los routers sepan que tienen que reenviar paquetes hacia ese usuario. De la misma forma, IGMP se encarga de controlar si en una red ya no hay usuarios interesados en un grupo concreto. REDES DE COMPUTADORAS 4
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA I. MARCO TEÓRICO 1.1. CAPITULO I: DEFINICIONES BÁSICAS 1.1.1. ¿Qué es IGMP? El protocolo de red IGMP se utiliza para intercambiar información acerca del estado de pertenencia entre enrutadores IP que admiten la multidifusión y miembros de grupos de multidifusión. Los hosts miembros individuales informan acerca de la pertenencia de hosts al grupo de multidifusión y los enrutadores de multidifusión sondean periódicamente el estado de la pertenencia. Los dispositivos de seguridad admiten las siguientes versiones de IGMP: IGMPv1, según lo definido en la norma RFC 1112, Extensiones de host para multicast IP, define las operaciones básicas para miembros de grupos multicast. IGMPv2, según lo definido en la norma RFC 2236, Protocolo de administración de grupos de Internet, versión 2, amplía la funcionalidad de IGMPv1. IGMPv3, según lo definido en la norma RFC 3376, Protocolo de administración de grupos de Internet, Versión 3, permite la filtración de orígenes. Los hosts que ejecutan IGMPv3 indican a qué grupos multicast desean unirse y desde qué orígenes esperan recibir tráfico multicast. IGMPv3 es necesario para ejecutar multicast independiente de protocolo en modo de origen específico. Todos los mensajes IGMP se transmiten en datagramas IP y tienen el formato mostrado en la figura 1. Los campos son los siguientes: Figura 1: Campos de mensajes IGMP REDES DE COMPUTADORAS 5
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 1.1.2. ¿Qué son los HOSTS? Los hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse como miembros en esos grupos. Los enrutadores aprenden qué hosts son miembros de grupos multicast al escuchar estos mensajes IGMP en sus redes locales. La Tabla 1 enumera los mensajes de IGMP que los hosts envían y el destino de los mensajes. TABLA 1: Mensajes de host IGMP Versión de Destino Mensaje de IGMP IGMP Un host envía un informe de miembro la primera vez que se une a un grupo multicast y periódicamente, IGMPv1, v2 y v3 una vez que ya es miembro del grupo. El informe de miembros indica a qué grupo multicast desea unirse Dirección IP del grupo multicast al que el host desea unirse el host. Un host envía un informe de miembro la primera vez que se une a un grupo multicast y periódicamente, una vez que ya es miembro del grupo. El informe de miembro contiene la dirección multicast del grupo, el modo de filtración, que es incluir o excluir y una IGMPv2 y v3 lista de orígenes. Si el modo de filtración es incluir, 224.0.0.22 entonces los paquetes procedentes de las direcciones de la lista de origen se aceptan. Si el modo de filtración es excluir, entonces los paquetes procedentes de orígenes distintos a los de la lista de origen se aceptan. Un host envía un mensaje Leave group cuando desea IGMPv3 dejar el grupo multicast y dejar de recibir datos para ese grupo. “Grupo de todos los enrutadores” (224.0.0.2) 1.1.3. Enrutadores Multicast Los enrutadores utilizan IGMP para aprender qué grupos multicast tienen miembros en su red local. Cada red selecciona un enrutador designado, denominado el consultador. Generalmente, hay un consultador para cada red. El consultador envía mensajes IGMP a todos los hosts de la red para solicitar información de miembros de grupo. Cuando los hosts responden con sus informes de miembros, los enrutadores toman la información de estos mensajes y actualizan su lista de miembros de grupos basándose en cada interfaz. Los REDES DE COMPUTADORAS 6
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA enrutadores IGMPv3 mantienen una lista que incluye la dirección del grupo multicast, el modo de filtración (incluir o excluir) y la lista de orígenes Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador de una red. Con IGMPv2 y v3, el consultador es la interfaz de enrutador con la dirección IP más baja de la red. La Tabla 2 describe los mensajes que un contestador envía y los destinos. Versión de Destino Mensaje de IGMP IGMP Grupo El consultador envía periódicamente consultas IGMPv1, v2 y v3 generales para solicitar la información de miembros de grupos. El consultador envía una consulta de “todos los hosts” (224.0.0.1) específica de grupo cuando recibe un mensaje Leave Group de IGMPv2 o un informe de miembros IGMPv3 que IGMPv2 y v3 indique un cambio en los miembros del grupo. Si el consultador no recibe ninguna respuesta en un plazo especificado, asume que no hay miembros para ese El grupo multicast del que va a salir el host. grupo en su red local y deja de reenviar el tráfico multicast a ese grupo. El consultador envía una consulta IGMPv3 específica de grupo y origen para verificar si hay algún receptor para ese grupo y origen específico. El grupo multicast del que va a salir el host. 1.2. CAPITULO II: IGMP EN DISPOSITIVOS DE SEGURIDAD En algunos enrutadores, IGMP se habilita automáticamente cuando habilita un protocolo de enrutamiento multicast. En los dispositivos de seguridad de Juniper Networks, debe habilitar explícitamente IGMP y un protocolo de enrutamiento multicast. 1.2.1. Habilitación e inhabilitación de IGMP en interfaces De forma predeterminada, IGMP está desactivado en todas las interfaces. Debe habilitar IGMP en el modo de enrutador en todas las interfaces que estén REDES DE COMPUTADORAS 7
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA conectadas a hosts. En el modo de enrutador, el dispositivo de seguridad ejecuta IGMPv2 de forma predeterminada. Puede cambiar el ajuste predeterminado y ejecutar IGMPv1, IGMPv2 y v3 o solamente IGMPv3. Habilitación de IGMP en una interfaz En este ejemplo, habilita IGMP en modo enrutador en la interfaz ethernet1 que está conectada con un host. WebUI Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) CLI set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp enable save Desactivación de IGMP en una interfaz En este ejemplo, desactivará IGMP en la interfaz ethernet1. El dispositivo de seguridad mantiene la configuración de IGMP, pero la desactiva. WebUI Network > Interfaces > Edit (para ethernet1) > IGMP: Clear Protocol IGMP Enable, luego haga clic en Apply. CLI unset interface ethernet1 protocol igmp enable save Para borrar la configuración de IGMP introduzca el comando unset interface interfaz protocol igmp router. 1.2.2. Configuración de una lista de accesos para grupos aceptados Hay algunos problemas de seguridad que debe tener en cuenta al ejecutar IGMP. Los usuarios maliciosos pueden falsificar consultas IGMP, informes de miembros y dejar mensajes. En los dispositivos de seguridad, puede restringir el tráfico multicast sólo a los hosts y grupos multicast conocidos. Además, también puede especificar los consultadores permitidos en su red. Estas restricciones se REDES DE COMPUTADORAS 8
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA establecen por medio de la creación de listas de accesos y su aplicación a una interfaz. Una lista de acceso es una secuencia de declaraciones que especifica una dirección IP y un estado de reenvío (permitir o denegar). En IGMP, las listas de accesos siempre deben tener un estado de reenvío permitido y deben especificar uno de los siguientes: Grupos multicast a los que los hosts se pueden unir Hosts desde los que la interfaz del enrutador IGMP puede recibir mensajes IGMP Consultadores desde los que la interfaz del enrutador de IGMP puede recibir mensajes IGMP Después de crear una lista de accesos, aplíquela a una interfaz. Una vez que aplique una lista de accesos a una interfaz, ésta aceptará tráfico solamente de los orígenes especificados en la lista de accesos. Por lo tanto, para denegar tráfico procedente de un determinado grupo, host o consultador multicast, simplemente exclúyalo de la lista de accesos. En este ejemplo, creará una lista de acceso en el trust-vr. La lista de accesos especifica lo siguiente: La identificación de la lista de accesos es 1. Permitir el tráfico a un grupo multicast 224.4.4.1/32. El número secuencial de esta declaración es 1. Después de crear la lista de accesos, permita que los hosts de ethernet1 se unan al grupo multicast especificado en la lista de accesos. WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK: Access List ID: 1 REDES DE COMPUTADORAS 9
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit (seleccione) Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK: Accept Group’s Access List ID: 1 CLI set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1 set interface ethernet1 protocol igmp accept groups 1 1.2.3. Configuración de IGMP Para ejecutar IGMP en un dispositivo de seguridad simplemente habilítelo en modo de Juniper Networks, enrutador en las interfaces que están conectadas directamente a los hosts. Para garantizar la seguridad de la red, utilice las listas de accesos para limitar el tráfico multicast sólo a grupos, hosts y enrutadores multicast conocidos. En la Figura 2, los hosts de la zona Trust protegida por el dispositivo de seguridad NS1 son receptores potenciales del flujo multicast procedente del origen en la zona Untrust. Las interfaces ethernet1 y ethernet2 están conectadas a los hosts. El origen multicast está transmitiendo datos al grupo multicast 224.4.4.1. Realice los pasos siguientes para configurar IGMP en las interfaces que están conectadas a los hosts: 1. Asigne direcciones IP a las interfaces y enlácelas a zonas. 2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32. 3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2. 4. Restrinja las interfaces (ethernet1 y ethernet2) para que reciban mensajes IGMPdel grupo multicast 224.4.4.1/32. Figura 2: Ejemplo de configuración IGMP REDES DE COMPUTADORAS 10
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA WebUI 1. Zonas e interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK: Zone Name: Trust IP Address/Netmask: 10.1.1.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK: Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24 2. Lista de accesos Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK: Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit 3. GMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Group’s Access List ID: 1 Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Group’s Access List ID: 1 REDES DE COMPUTADORAS 11
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA CLI 1. Zonas e interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.2.1.1/24 2. Lista de accesos set vrouter trust access-list 1 permit ip 224.4.4.1/32 1 3. IGMP set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp accept groups 1 set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp accept groups 1 set interface ethernet2 protocol igmp enable save Después de configurar IGMP en ethernet1 y ethernet2, debe configurar un protocolo de enrutamiento multicast, como PIM, para reenviar el tráfico multicast. 1.2.4. Verificación de una configuración de IGMP Para verificar la conectividad y asegurarse de que IGMP se esté ejecutando correctamente, existe una serie de comandos exec y get que puede utilizar. Para enviar consultas generales o específicas de grupos a una interfaz en particular, utilice el comando exec igmp interface interfaz query. Por ejemplo, para enviar una consulta general desde ethernet2, introduzca el siguiente comando: REDES DE COMPUTADORAS 12
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA exec igmp interface ethernet2 query Para enviar una consulta específica de grupo desde ethernet2 al grupo multicast 224.4.4.1, introduzca el siguiente comando: exec igmp interface ethernet2 query 224.4.4.1 Para enviar un informe de miembros de una interfaz en particular, utilice el comando exec igmp interface interfaz report. Por ejemplo, para enviar un informe de miembro desde ethernet2, introduzca el siguiente comando: exec igmp interface ethernet2 report 224.4.4.1 Puede revisar los parámetros IGMP de una interfaz al introducir el comando siguiente: device-> get igmp interface Interface trust support IGMP version 2 router. It is enabled. IGMP proxy is disabled. Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. There are 0 multicast groups active. Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 segundos query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds Este resultado enumera la siguiente información: IGMP versión (2) Estado del consultador (yo soy el consultador.) Set and unset parameters Para mostrar información sobre grupos multicast, ejecute el siguiente comando CLI: device-> get igmp group total groups matched: 1 multicast group interface last reporter expire ver REDES DE COMPUTADORAS 13
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA *224.4.4.1 trust 0.0.0.0 ------ v2 1.3. CAPITULO III: PROXY DE IGMP Los enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; no reenvían mensajes IGMP más allá de su red local. Puede permitir que las interfaces de un dispositivo de seguridad de Juniper Networks reenvíen mensajes IGMP un salto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast. Cuando ejecuta un proxy IGMP en un dispositivo de seguridad, las interfaces conectadas a hosts funcionan como enrutadores y aquellas conectadas a enrutadores en sentido ascendente funcionan como hosts. Las interfaces de host y enrutador generalmente están en zonas diferentes. Para permitir que los mensajes de IGMP pasen entre zonas, debe configurar una directiva multicast. Luego, para permitir que el tráfico de datos multicast pase entre zonas, también debe configurar una directiva de cortafuegos. En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una interfaz en el sistema virtual raíz (vsys) y la otra interfaz en vsys separados. A continuación, cree una directiva multicast para permitir tráfico de control multicast entre los dos sistemas virtuales. (Para obtener más información sobre los sistemas virtuales, consulte el Volumen 10: Sistemas virtuales.) Mientras las interfaces reenvían información de miembros IGMP, crean entradas en la tabla de rutas multicast del enrutador virtual al que están asociadas, formando un árbol de distribución multicast desde los receptores hasta el origen. Las siguientes secciones describen cómo las interfaces de hosts y enrutadores IGMP reenvían la información de miembros de IGMP en sentido ascendente hacia el origen, y cómo reenvían datos multicast en sentido descendente desde el origen hasta el receptor. 1.3.1. Configuración del proxy de IGMP INFORMES DE MIEMBROS EN SENTIDO ASCENDENTE HACIA EL ORIGEN Cuando un host conectado a una interfaz de enrutador en un dispositivo de seguridad se une a un grupo multicast, envía un informe de miembros al grupo multicast. Cuando la interfaz del enrutador recibe el informe de miembros del REDES DE COMPUTADORAS 14
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA host que se acaba de conectar, comprueba si tiene una entrada para el grupo multicast. A continuación, el dispositivo de seguridad lleva a cabo una de las acciones siguientes: Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora el informe de miembros. Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast, comprueba si hay una directiva multicast para el grupo que especifique a qué zona la interfaz del enrutador debe enviar el informe o Si no hay ninguna directiva multicast para el grupo, la interfaz del enrutador no reenvía el informe. o Si hay alguna directiva multicast para el grupo, la interfaz del enrutador crea una entrada para el grupo multicast y reenvía el informe de miembros a la interfaz del host proxy en la zona especificada en la directiva multicast Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si tiene una entrada (*, G) para ese grupo multicast. Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz del enrutador a la lista de las interfaces de salida para esa entrada. Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del enrutador. A continuación, la interfaz del host proxy reenvía el informe a su enrutador en sentido ascendente. DATOS MULTICAST EN SENTIDO DESCENDENTE A LOS RECEPTORES Cuando la interfaz del host en el dispositivo de seguridad recibe datos multicast para un grupo multicast, comprueba si hay una sesión existente para ese grupo. Si hay una sesión para el grupo, la interfaz reenvía los datos multicast basándose en la información de la sesión. Si no hay sesión para el grupo, la interfaz comprueba si el grupo tiene una entrada (S, G) en la tabla de rutas multicast. o Si hay una entrada (S, G), la interfaz reenvía los datos multicast en consecuencia. o Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna entrada (*, G) para el grupo. o Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta el paquete. o Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una entrada (S, G). Cuando la interfaz recibe paquetes multicast REDES DE COMPUTADORAS 15
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA subsiguientes para ese grupo, reenvía el tráfico a la interfaz del enrutador (la interfaz de salida) que, a su vez, reenvía el tráfico a su host conectado. En esta sección se describen los pasos básicos necesarios para configurar IGMP proxy en un dispositivo de seguridad de Juniper Networks: 1) Habilitar IGMP en el modo host en interfaces en sentido ascendente. De forma predeterminada, el proxy de IGMP está habilitado en las interfaces de hosts. 2) Habilitar IGMP en el modo enrutador en interfaces en sentido descendente. 3) Habilitar IGMP proxy en interfaces de enrutador. 4) Configurar una directiva multicast que permita que el tráfico de control multicast pase de una zona a otra. 5) Configurar una directiva para entregar tráfico de datos entre zonas. La siguiente figura muestra un ejemplo de una configuración de host proxy de IGMP. Figura 3: Configuración del host proxy IGMP 1.3.2. Configuración de un proxy de IGMP en una interfaz REDES DE COMPUTADORAS 16
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA Cuando ejecute IGMP proxy en un dispositivo de seguridad, la interfaz en sentido descendente se configura en modo enrutador y la interfaz en sentido ascendente en modo host. (Observe que una interfaz puede estar en modo host o en modo enrutador, pero no en ambos). Además, para que una interfaz de enrutador reenvíe el tráfico multicast, debe ser el consultador en la red local. Para permitir que una interfaz no consultada reenvíe el tráfico multicast, debe especificar la palabra clave always al habilitar IGMP en la interfaz. De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de su propia subred. Ignora los mensajes IGMP procedentes de orígenes externos. Debe habilitar el dispositivo de seguridad para que acepte mensajes IGMP procedentes de orígenes de otras subredes cuando ejecute IGMP proxy. En este ejemplo, la interfaz ethernet1 tiene la dirección IP 10.1.2.1/24 y está conectada al enrutador en sentido ascendente. Configure lo siguiente en ethernet1: Habilite IGMP en el modo host Permita que acepte mensajes IGMP desde todos los orígenes, sin importar la subred La interfaz ethernet3 tiene la dirección IP 10.1.1.1/24 y está conectada a los hosts. Configure lo siguiente en ethernet3: Habilite IGMP en el modo enrutador. Permita que reenvíe tráfico multicast aunque no sea un consultador. Permita que acepte mensajes IGMP procedentes de orígenes de otras subredes. WebUI 1. Zona e interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK: Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos, luego haga clic en Apply: Zone Name: Trust IP Address/Netmask: 10.1.1.1/24 2. IGMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) REDES DE COMPUTADORAS 17
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en OK: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy: (seleccione) Always (seleccione) CLI 1. Zona e interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet3 zone trust set interface ethernet1 ip 10.1.1.1/24 2. IGMP set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface ethernet3 protocol igmp router set interface ethernet3 protocol igmp proxy set interface ethernet3 protocol igmp proxy always set interface ethernet3 protocol igmp enable set interface ethernet3 protocol igmp no-check-subnet save 1.3.3. Directivas multicast para configuraciones de IGMP y proxy de IGMP Normalmente, un dispositivo de seguridad intercambia mensajes IGMP sólo con sus hosts conectados. Con IGMP proxy, los dispositivos de seguridad podrían necesitar enviar mensajes IGMP a un host o a un enrutador en otra zona. Para permitir el envío de mensajes IGMP entre zonas, debe configurar una directiva multicast que lo permita específicamente. Cuando cree una directiva multicast, debe especificar lo siguiente: Origen: La zona desde la que se inicia el tráfico Destino: La zona a la que se envía el tráfico Grupo multicast: Puede ser un grupo multicast, una lista de accesos que especifique grupos multicast o “any”. Además, puede especificar que la directiva sea bidireccional para aplicar la directiva a ambos sentidos del tráfico. CREACIÓN DE UNA DIRECTIVA DE GRUPO MULTICAST PARA IGMP REDES DE COMPUTADORAS 18
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA En este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la interfaz del host en la zona Untrust. Defina una directiva multicast que permita que los mensajes IGMP para el grupo multicast 224.2.202.99/32 puedan pasar entre las zonas Trust y Untrust. Utilice la palabra clave bidirectional para permitir el tráfico en ambos sentidos. WebUI MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32 Bidirectional: (seleccione) IGMP Message: (seleccione) CLI set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust igmp-message bi-directional sabe CREACIÓN DE UNA CONFIGURACIÓN DE PROXY DE IGMP Como se indica en la Figura 26, se configura IGMP proxy en los dispositivos de seguridad NS1 y NS2. Están interconectados a través de un túnel VPN. Realice los pasos siguientes en los dispositivos de seguridad de ambas ubicaciones: 1) Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seguridad. 2) Crear los objetos de direcciones 3) Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP proxy en la interfaz del enrutador. (De forma predeterminada, IGMP proxy está habilitado en las interfaces de host). a. Especificar la palabra clave always (siempre) en ethernet1 de NS1 para permitir que reenvíe el tráfico multicast aunque no sea consultador. b. De forma predeterminada, una interfaz IGMP sólo acepta paquetes IGMP de su propia subred. En el ejemplo, las interfaces están en subredes diferentes. Cuando habilite IGMP, permita que las interfaces acepten paquetes IGMP (consultas, informes de miembros y mensajes leave) procedentes de cualquier subred. 4) Configurar las rutas. 5) Configurar el túnel VPN 6) Configurar una directiva para transmitir tráfico de datos entre zonas. REDES DE COMPUTADORAS 19
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 7) Configurar una directiva multicast para entregar mensajes IGMP entre zonas. En este ejemplo, restringirá el tráfico multicast a un grupo multicast (224.4.4.1/32). WebUI (NS1) 1. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr) 2. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust 3. IGMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) 4. Rutas Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione) REDES DE COMPUTADORAS 20
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 5. VPN VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3 6. Directiva Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit 7. Directiva multicast MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione) CLI (NS1) 1. Interfaces Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 2. Direcciones set address untrust branch1 10.3.1.0/24 3. IGMP set interface ethernet1 protocol igmp host REDES DE COMPUTADORAS 21
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet 4. Rutas set route 10.3.1.0/24 interface tunnel.1 5. Túnel VPN set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any 6. Directiva set policy name To_Branch from untrust to trust branch1 any any permit 7. Directiva multicast set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional sabe 1.3.4. Configuración de un proxy de remitente de IGMP En IGMP proxy, el tráfico multicast generalmente viaja en sentido descendente desde la interfaz del host a la interfaz del enrutador. En determinadas situaciones, el origen puede estar en la misma red que la interfaz del enrutador. Cuando un origen se conecta a una interfaz que se encuentra en la misma red a la que la interfaz del proxy del enrutador IGMP envía tráfico multicast, el dispositivo de seguridad comprueba si hay lo siguiente: Una directiva del grupo multicast que permite el tráfico desde la zona de origen a la zona de la interfaz del host IGMP proxy Una lista de accesos de los orígenes aceptables Si no hay ninguna directiva multicast entre la zona de origen y la zona de la interfaz IGMP proxy o si el origen no se encuentra en la lista de orígenes aceptables, el dispositivo de seguridad descarta el tráfico. Si existe una directiva REDES DE COMPUTADORAS 22
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA multicast entre la zona de origen y la zona de la interfaz IGMP proxy, y el origen aparece en la lista de orígenes aceptables, el dispositivo crea una entrada (S, G) para esa interfaz en la tabla de rutas multicast; la interfaz entrante es la interfaz a la que el origen está conectado y la interfaz saliente es la interfaz del host IGMP proxy. Luego, el dispositivo de seguridad envía los datos en sentido ascendente a la interfaz del host IGMP proxy, que envía los datos a todas sus interfaces de enrutador proxy conectadas, salvo a la interfaz conectada con el origen. La siguiente figura muestra un ejemplo del proxy de remitente de IGMP: Figura 4: Proxy de remitente de IGMP En la figura anterior el origen está conectado a la interfaz ethernet2, enlazada a la zona DMZ en NS2. Está enviando tráfico multicast al grupo multicast 224.4.4.1/32. Hay receptores conectados a la interfaz ethernet1 enlazada a la zona Trust en NS2. Tanto ethernet1 como ethernet2 son interfaces de enrutador IGMP proxy. La interfaz ethernet3 asociada a la zona Untrust de NS2 es una interfaz de host de IGMP proxy. También hay receptores conectados a la interfaz ethernet1 enlazada a la zona Trust en NS1. Realice los pasos siguientes en NS2: 1) Asignar direcciones IP a las interfaces físicas enlazadas a las zonas de seguridad. 2) Crear los objetos de direcciones. 3) En ethernet1 y ethernet2: a. Habilitar IGMP en el modo enrutador y habilitar IGMP proxy. b. Especifique la palabra clave always (siempre) para permitir que las interfaces reenvíen tráfico multicast incluso aunque no sean consultadores. 4) Habilitar IGMP en modo host en ethernet3. 5) Configurar la ruta predeterminada. 6) Configurar las directivas de cortafuegos entre las zonas. REDES DE COMPUTADORAS 23
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 7) Configurar las directivas multicast entre las zonas. WebUI (NS2) 1. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr) 2. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust 3. IGMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) 4. Rutas Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione) REDES DE COMPUTADORAS 24
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 5. VPN VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3 6. Directiva Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit 7. Directiva multicast MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione) CLI (NS2) 1. Interfaces Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 2. Direcciones set address untrust branch1 10.3.1.0/24 3. IGMP set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet REDES DE COMPUTADORAS 25
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet 4. Rutas set route 10.3.1.0/24 interface tunnel.1 5. Túnel VPN set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any 6. Directiva set policy name To_Branch from untrust to trust branch1 any any permit 7. Directiva multicast set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save CONCLUSIONES El Protocolo de Mensajes de Control de Internet: Es el sub protocolo de control y notificación deerrores del Protocolo de Internet (IP). Se utiliza para enviar mensajes de error y no tomaacciones sobre éste. Difiere del propósito de TCP y UDP ya quegeneralmente no se utiliza directamente por lasaplicaciones de usuario en la red: La única excepción es la herramienta ping ytraceroute. REDES DE COMPUTADORAS 26
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA BIBLIOGRAFÍA MANUAL DE REFERENCIA SCREENOS, VOL 7 “ENRUTAMIENTO”, CAP 8, Protocolo de administración de grupos de internet. Edit. ”Sunnyvale” http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/TCP_IP_Aplicacione s.pdf http://www.elcontador.com.ar/modules.php?name=News&file=article&sid=166 http://es.wikipedia.org/wiki/Internet_Group_Management_Protocol http://csie.unavarra.es/php_documentacion/tecnologia/IGMP/index.php REDES DE COMPUTADORAS 27

Recomendados

Modelado y Análisis Formal del Protocolo de Comunicación de Sensores One Wire
Modelado y Análisis Formal del Protocolo de Comunicación de Sensores One WireModelado y Análisis Formal del Protocolo de Comunicación de Sensores One Wire
Modelado y Análisis Formal del Protocolo de Comunicación de Sensores One WireFacultad de Informática UCM
 
Manual de integración de Latch en Mosquito MQTT Broker
Manual de integración de Latch en Mosquito MQTT BrokerManual de integración de Latch en Mosquito MQTT Broker
Manual de integración de Latch en Mosquito MQTT BrokerTelefónica
 
Tabla comparativa de protocolos de enrutamiento vector distancia
Tabla comparativa de protocolos de enrutamiento vector distanciaTabla comparativa de protocolos de enrutamiento vector distancia
Tabla comparativa de protocolos de enrutamiento vector distanciaPriinzheziita Punk
 
Protocolo de Enrutamiento IGRP
Protocolo de Enrutamiento IGRPProtocolo de Enrutamiento IGRP
Protocolo de Enrutamiento IGRPÁngel Leonardo Torres
 
8.1.3.8 packet tracer
8.1.3.8 packet tracer8.1.3.8 packet tracer
8.1.3.8 packet tracertimmaujim
 
Snort_IDS
Snort_IDSSnort_IDS
Snort_IDSNatalia Martinez Ramos
 
Sistema autonomo cisco packet tracer
Sistema autonomo cisco packet tracerSistema autonomo cisco packet tracer
Sistema autonomo cisco packet tracerVicTorx D. Rko
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeñomiss051
 

Recomendados

Modelado y Análisis Formal del Protocolo de Comunicación de Sensores One Wire
Modelado y Análisis Formal del Protocolo de Comunicación de Sensores One WireModelado y Análisis Formal del Protocolo de Comunicación de Sensores One Wire
Modelado y Análisis Formal del Protocolo de Comunicación de Sensores One WireFacultad de Informática UCM
 
Manual de integración de Latch en Mosquito MQTT Broker
Manual de integración de Latch en Mosquito MQTT BrokerManual de integración de Latch en Mosquito MQTT Broker
Manual de integración de Latch en Mosquito MQTT BrokerTelefónica
 
Tabla comparativa de protocolos de enrutamiento vector distancia
Tabla comparativa de protocolos de enrutamiento vector distanciaTabla comparativa de protocolos de enrutamiento vector distancia
Tabla comparativa de protocolos de enrutamiento vector distanciaPriinzheziita Punk
 
Protocolo de Enrutamiento IGRP
Protocolo de Enrutamiento IGRPProtocolo de Enrutamiento IGRP
Protocolo de Enrutamiento IGRPÁngel Leonardo Torres
 
8.1.3.8 packet tracer
8.1.3.8 packet tracer8.1.3.8 packet tracer
8.1.3.8 packet tracertimmaujim
 
Snort_IDS
Snort_IDSSnort_IDS
Snort_IDSNatalia Martinez Ramos
 
Sistema autonomo cisco packet tracer
Sistema autonomo cisco packet tracerSistema autonomo cisco packet tracer
Sistema autonomo cisco packet tracerVicTorx D. Rko
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeñomiss051
 
Introduccion a los routers
Introduccion a los routersIntroduccion a los routers
Introduccion a los routersJosu Orbe
 
Investigacion rip versión 2
Investigacion rip versión 2Investigacion rip versión 2
Investigacion rip versión 2Michael Cm
 
dsddfd
dsddfddsddfd
dsddfdsolangeleal
 
Eigrp Parte 1
Eigrp Parte 1Eigrp Parte 1
Eigrp Parte 1Juan Zambrano Burgos
 
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDES
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDESPROTOCOLOS SIMPLES PARA GESTIÓN DE REDES
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDESEquipoSCADA
 
Algoritmos
AlgoritmosAlgoritmos
Algoritmos1 2d
 
ENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACEENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACECecy Hernandez
 
Labo fragmentación ip.
Labo fragmentación ip.Labo fragmentación ip.
Labo fragmentación ip.ANGELDAVIDCRUZCONDOR
 
Trabajo Final RED-101 ITSC
Trabajo Final RED-101 ITSCTrabajo Final RED-101 ITSC
Trabajo Final RED-101 ITSCJosé Miguel Bello Valera
 
Snmp
SnmpSnmp
SnmpMaría Fernanda Chiriboga
 
Eloy contreras de lira
Eloy contreras de liraEloy contreras de lira
Eloy contreras de liraFransisco de Santiago
 
WAN TECATE CON CARACTER_ "evita el exceso"
WAN TECATE CON CARACTER_ "evita el exceso"WAN TECATE CON CARACTER_ "evita el exceso"
WAN TECATE CON CARACTER_ "evita el exceso"El_mata_viejitas_Lemus
 
Actividad 07.1 protocolo rip
Actividad 07.1 protocolo ripActividad 07.1 protocolo rip
Actividad 07.1 protocolo ripEmir Méndez Alarcón
 
Snort
SnortSnort
SnortTensor
 
Snort
SnortSnort
SnortTensor
 
Snort
SnortSnort
SnortTensor
 
Snort
SnortSnort
SnortTensor
 
Enrutadores
EnrutadoresEnrutadores
Enrutadores1 2d
 
Protocolos de enrutamiento igrp
Protocolos de enrutamiento igrpProtocolos de enrutamiento igrp
Protocolos de enrutamiento igrpVanessa Estefania Corredor Andrade
 
Presentación1
Presentación1Presentación1
Presentación1rocita2502
 

Más contenido relacionado

Similar a Protocolo de administracion de grupos de internet

Introduccion a los routers
Introduccion a los routersIntroduccion a los routers
Introduccion a los routersJosu Orbe
 
Investigacion rip versión 2
Investigacion rip versión 2Investigacion rip versión 2
Investigacion rip versión 2Michael Cm
 
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDES
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDESPROTOCOLOS SIMPLES PARA GESTIÓN DE REDES
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDESEquipoSCADA
 
Algoritmos
AlgoritmosAlgoritmos
Algoritmos1 2d
 
ENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACEENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACECecy Hernandez
 
WAN TECATE CON CARACTER_ "evita el exceso"
WAN TECATE CON CARACTER_ "evita el exceso"WAN TECATE CON CARACTER_ "evita el exceso"
WAN TECATE CON CARACTER_ "evita el exceso"El_mata_viejitas_Lemus
 
Enrutadores
EnrutadoresEnrutadores
Enrutadores1 2d
 
Presentación1
Presentación1Presentación1
Presentación1rocita2502
 

Similar a Protocolo de administracion de grupos de internet (20)

Introduccion a los routers
Introduccion a los routersIntroduccion a los routers
Introduccion a los routers
 
Investigacion rip versión 2
Investigacion rip versión 2Investigacion rip versión 2
Investigacion rip versión 2
 
dsddfd
dsddfddsddfd
dsddfd
 
Eigrp Parte 1
Eigrp Parte 1Eigrp Parte 1
Eigrp Parte 1
 
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDES
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDESPROTOCOLOS SIMPLES PARA GESTIÓN DE REDES
PROTOCOLOS SIMPLES PARA GESTIÓN DE REDES
 
Algoritmos
AlgoritmosAlgoritmos
Algoritmos
 
ENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACEENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACE
 
Labo fragmentación ip.
Labo fragmentación ip.Labo fragmentación ip.
Labo fragmentación ip.
 
Trabajo Final RED-101 ITSC
Trabajo Final RED-101 ITSCTrabajo Final RED-101 ITSC
Trabajo Final RED-101 ITSC
 
Snmp
SnmpSnmp
Snmp
 
Eloy contreras de lira
Eloy contreras de liraEloy contreras de lira
Eloy contreras de lira
 
WAN TECATE CON CARACTER_ "evita el exceso"
WAN TECATE CON CARACTER_ "evita el exceso"WAN TECATE CON CARACTER_ "evita el exceso"
WAN TECATE CON CARACTER_ "evita el exceso"
 
Actividad 07.1 protocolo rip
Actividad 07.1 protocolo ripActividad 07.1 protocolo rip
Actividad 07.1 protocolo rip
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
Snort
SnortSnort
Snort
 
Enrutadores
EnrutadoresEnrutadores
Enrutadores
 
Protocolos de enrutamiento igrp
Protocolos de enrutamiento igrpProtocolos de enrutamiento igrp
Protocolos de enrutamiento igrp
 
Presentación1
Presentación1Presentación1
Presentación1
 

Protocolo de administracion de grupos de internet

  • 1. UNIVERSIDAD NACIONACL DE TRUJILLO FACULAD DE INGENIERÍA ESCUELA DE ING. MECATRÓNICA PROTOCOLO DE ADMINISTRACÍON DE GRUPOS DE INTERNET CRUZADO VARGAS JOSUÉ ROJAS BENITES JUAN JOSÉ TRUJILLO-PERU 2013 Ing. Mecatrónica IV CICLO
  • 2. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA ÍNDICE DEDICATORIA……………………………………………………………………………………………………………………………3 INTRODUCCION………………………………………………………………………………………………………………………..4 1. MARCO TEORICO…………………………………………………………………………………………………………5 1.1. CAPITULO I: DEFINICIONES BÁSICAS………………………………………………………………………….5 1.1.1. ¿Qué es IGMP?.......................................................................................................5 1.1.2. ¿Qué son los HOSTS?..............................................................................................6 1.1.3. Enrutadores Multicast………………………………………………………………………………………..6 1.2. CAPITULO II: IGMP EN DISPOSITIVOS DE SEGURIDAD………………………………………………7 1.2.1. Habilitación e inhabilitación de IGMP en interfaces…………………………………………7 1.2.2. Configuración de una lista de accesos para grupos aceptados………….……………9 1.2.3. Configuración de IGMP………………………………………………………………….……………….10 1.2.4. Verificación de una configuración de IGMP………………………………….……………….12 1.3. CAPITULO III: PROXY DE IGMP………………….….……………………………………………………….13 1.3.1. Configuración del proxy de IGMP…………………………………………….………………………14 1.3.2. Configuración de un proxy de IGMP en una interfaz………….……….……………………17 1.3.3. Directivas multicast para configuraciones de IGMP y proxy de IGMP…..………….19 1.3.4. Configuración de un proxy de remitente de IGMP…………………………….….…………23 CONCLUSIONES………………………………………………………………………………………………………………………27 BIBLIOGRAFÍA…………………………………………………………………………………………………………….............28 REDES DE COMPUTADORAS 2
  • 3. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA Queremos dedicarle este trabajo A Dios que nos ha dado la vida y fortaleza para terminar este proyecto de investigación, A nuestros padres por estar ahí cuando más los necesitamos y Al Ing. Arturo Díaz por el apoyo académico que nos brindó. REDES DE COMPUTADORAS 3
  • 4. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA INTRODUCCIÓN El intercambio de información a través de la Internet clásica se realiza de forma unicast, es decir, de uno a uno: un servidor envía información a un cliente. De esta manera, si queremos que la información llegue a más de un usuario tendremos que mandarla tantas veces como usuarios deban recibirla. Si diez usuarios han de recibir un paquete, tendremos que mandar diez paquetes iguales, uno para cada uno. Si tienen que recibirlo mil usuarios, enviaremos mil copias. Esta forma de realizar la transmisión es, obviamente, ineficiente, cuando no imposible, y limita la comunicación entre múltiples usuarios, más aún cuánto mayores sean los recursos a consumir. IGMP (Internet Group Management Protocol) es el protocolo encargado de la gestión de grupos. Para saber qué usuarios están interesados en la información se utiliza el concepto de grupo. Los paquetes de datos no se envían a los usuarios directamente, sino que se envían a una dirección IP que no corresponde a ningún equipo concreto, sino que identifica a un grupo de receptores. Si un usuario quiere recibir información de un grupo debe apuntarse a él enviando un mensaje IGMP. El protocolo se encarga de distribuir la solicitud a través de la red, de manera que los routers sepan que tienen que reenviar paquetes hacia ese usuario. De la misma forma, IGMP se encarga de controlar si en una red ya no hay usuarios interesados en un grupo concreto. REDES DE COMPUTADORAS 4
  • 5. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA I. MARCO TEÓRICO 1.1. CAPITULO I: DEFINICIONES BÁSICAS 1.1.1. ¿Qué es IGMP? El protocolo de red IGMP se utiliza para intercambiar información acerca del estado de pertenencia entre enrutadores IP que admiten la multidifusión y miembros de grupos de multidifusión. Los hosts miembros individuales informan acerca de la pertenencia de hosts al grupo de multidifusión y los enrutadores de multidifusión sondean periódicamente el estado de la pertenencia. Los dispositivos de seguridad admiten las siguientes versiones de IGMP: IGMPv1, según lo definido en la norma RFC 1112, Extensiones de host para multicast IP, define las operaciones básicas para miembros de grupos multicast. IGMPv2, según lo definido en la norma RFC 2236, Protocolo de administración de grupos de Internet, versión 2, amplía la funcionalidad de IGMPv1. IGMPv3, según lo definido en la norma RFC 3376, Protocolo de administración de grupos de Internet, Versión 3, permite la filtración de orígenes. Los hosts que ejecutan IGMPv3 indican a qué grupos multicast desean unirse y desde qué orígenes esperan recibir tráfico multicast. IGMPv3 es necesario para ejecutar multicast independiente de protocolo en modo de origen específico. Todos los mensajes IGMP se transmiten en datagramas IP y tienen el formato mostrado en la figura 1. Los campos son los siguientes: Figura 1: Campos de mensajes IGMP REDES DE COMPUTADORAS 5
  • 6. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 1.1.2. ¿Qué son los HOSTS? Los hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse como miembros en esos grupos. Los enrutadores aprenden qué hosts son miembros de grupos multicast al escuchar estos mensajes IGMP en sus redes locales. La Tabla 1 enumera los mensajes de IGMP que los hosts envían y el destino de los mensajes. TABLA 1: Mensajes de host IGMP Versión de Destino Mensaje de IGMP IGMP Un host envía un informe de miembro la primera vez que se une a un grupo multicast y periódicamente, IGMPv1, v2 y v3 una vez que ya es miembro del grupo. El informe de miembros indica a qué grupo multicast desea unirse Dirección IP del grupo multicast al que el host desea unirse el host. Un host envía un informe de miembro la primera vez que se une a un grupo multicast y periódicamente, una vez que ya es miembro del grupo. El informe de miembro contiene la dirección multicast del grupo, el modo de filtración, que es incluir o excluir y una IGMPv2 y v3 lista de orígenes. Si el modo de filtración es incluir, 224.0.0.22 entonces los paquetes procedentes de las direcciones de la lista de origen se aceptan. Si el modo de filtración es excluir, entonces los paquetes procedentes de orígenes distintos a los de la lista de origen se aceptan. Un host envía un mensaje Leave group cuando desea IGMPv3 dejar el grupo multicast y dejar de recibir datos para ese grupo. “Grupo de todos los enrutadores” (224.0.0.2) 1.1.3. Enrutadores Multicast Los enrutadores utilizan IGMP para aprender qué grupos multicast tienen miembros en su red local. Cada red selecciona un enrutador designado, denominado el consultador. Generalmente, hay un consultador para cada red. El consultador envía mensajes IGMP a todos los hosts de la red para solicitar información de miembros de grupo. Cuando los hosts responden con sus informes de miembros, los enrutadores toman la información de estos mensajes y actualizan su lista de miembros de grupos basándose en cada interfaz. Los REDES DE COMPUTADORAS 6
  • 7. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA enrutadores IGMPv3 mantienen una lista que incluye la dirección del grupo multicast, el modo de filtración (incluir o excluir) y la lista de orígenes Con IGMPv1, cada protocolo de enrutamiento multicast determina el consultador de una red. Con IGMPv2 y v3, el consultador es la interfaz de enrutador con la dirección IP más baja de la red. La Tabla 2 describe los mensajes que un contestador envía y los destinos. Versión de Destino Mensaje de IGMP IGMP Grupo El consultador envía periódicamente consultas IGMPv1, v2 y v3 generales para solicitar la información de miembros de grupos. El consultador envía una consulta de “todos los hosts” (224.0.0.1) específica de grupo cuando recibe un mensaje Leave Group de IGMPv2 o un informe de miembros IGMPv3 que IGMPv2 y v3 indique un cambio en los miembros del grupo. Si el consultador no recibe ninguna respuesta en un plazo especificado, asume que no hay miembros para ese El grupo multicast del que va a salir el host. grupo en su red local y deja de reenviar el tráfico multicast a ese grupo. El consultador envía una consulta IGMPv3 específica de grupo y origen para verificar si hay algún receptor para ese grupo y origen específico. El grupo multicast del que va a salir el host. 1.2. CAPITULO II: IGMP EN DISPOSITIVOS DE SEGURIDAD En algunos enrutadores, IGMP se habilita automáticamente cuando habilita un protocolo de enrutamiento multicast. En los dispositivos de seguridad de Juniper Networks, debe habilitar explícitamente IGMP y un protocolo de enrutamiento multicast. 1.2.1. Habilitación e inhabilitación de IGMP en interfaces De forma predeterminada, IGMP está desactivado en todas las interfaces. Debe habilitar IGMP en el modo de enrutador en todas las interfaces que estén REDES DE COMPUTADORAS 7
  • 8. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA conectadas a hosts. En el modo de enrutador, el dispositivo de seguridad ejecuta IGMPv2 de forma predeterminada. Puede cambiar el ajuste predeterminado y ejecutar IGMPv1, IGMPv2 y v3 o solamente IGMPv3. Habilitación de IGMP en una interfaz En este ejemplo, habilita IGMP en modo enrutador en la interfaz ethernet1 que está conectada con un host. WebUI Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) CLI set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp enable save Desactivación de IGMP en una interfaz En este ejemplo, desactivará IGMP en la interfaz ethernet1. El dispositivo de seguridad mantiene la configuración de IGMP, pero la desactiva. WebUI Network > Interfaces > Edit (para ethernet1) > IGMP: Clear Protocol IGMP Enable, luego haga clic en Apply. CLI unset interface ethernet1 protocol igmp enable save Para borrar la configuración de IGMP introduzca el comando unset interface interfaz protocol igmp router. 1.2.2. Configuración de una lista de accesos para grupos aceptados Hay algunos problemas de seguridad que debe tener en cuenta al ejecutar IGMP. Los usuarios maliciosos pueden falsificar consultas IGMP, informes de miembros y dejar mensajes. En los dispositivos de seguridad, puede restringir el tráfico multicast sólo a los hosts y grupos multicast conocidos. Además, también puede especificar los consultadores permitidos en su red. Estas restricciones se REDES DE COMPUTADORAS 8
  • 9. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA establecen por medio de la creación de listas de accesos y su aplicación a una interfaz. Una lista de acceso es una secuencia de declaraciones que especifica una dirección IP y un estado de reenvío (permitir o denegar). En IGMP, las listas de accesos siempre deben tener un estado de reenvío permitido y deben especificar uno de los siguientes: Grupos multicast a los que los hosts se pueden unir Hosts desde los que la interfaz del enrutador IGMP puede recibir mensajes IGMP Consultadores desde los que la interfaz del enrutador de IGMP puede recibir mensajes IGMP Después de crear una lista de accesos, aplíquela a una interfaz. Una vez que aplique una lista de accesos a una interfaz, ésta aceptará tráfico solamente de los orígenes especificados en la lista de accesos. Por lo tanto, para denegar tráfico procedente de un determinado grupo, host o consultador multicast, simplemente exclúyalo de la lista de accesos. En este ejemplo, creará una lista de acceso en el trust-vr. La lista de accesos especifica lo siguiente: La identificación de la lista de accesos es 1. Permitir el tráfico a un grupo multicast 224.4.4.1/32. El número secuencial de esta declaración es 1. Después de crear la lista de accesos, permita que los hosts de ethernet1 se unan al grupo multicast especificado en la lista de accesos. WebUI Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK: Access List ID: 1 REDES DE COMPUTADORAS 9
  • 10. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit (seleccione) Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos y haga clic en OK: Accept Group’s Access List ID: 1 CLI set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1 set interface ethernet1 protocol igmp accept groups 1 1.2.3. Configuración de IGMP Para ejecutar IGMP en un dispositivo de seguridad simplemente habilítelo en modo de Juniper Networks, enrutador en las interfaces que están conectadas directamente a los hosts. Para garantizar la seguridad de la red, utilice las listas de accesos para limitar el tráfico multicast sólo a grupos, hosts y enrutadores multicast conocidos. En la Figura 2, los hosts de la zona Trust protegida por el dispositivo de seguridad NS1 son receptores potenciales del flujo multicast procedente del origen en la zona Untrust. Las interfaces ethernet1 y ethernet2 están conectadas a los hosts. El origen multicast está transmitiendo datos al grupo multicast 224.4.4.1. Realice los pasos siguientes para configurar IGMP en las interfaces que están conectadas a los hosts: 1. Asigne direcciones IP a las interfaces y enlácelas a zonas. 2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32. 3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2. 4. Restrinja las interfaces (ethernet1 y ethernet2) para que reciban mensajes IGMPdel grupo multicast 224.4.4.1/32. Figura 2: Ejemplo de configuración IGMP REDES DE COMPUTADORAS 10
  • 11. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA WebUI 1. Zonas e interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK: Zone Name: Trust IP Address/Netmask: 10.1.1.1/24 Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y haga clic en OK: Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 1.1.1.1/24 2. Lista de accesos Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK: Access List ID: 1 Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit 3. GMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Group’s Access List ID: 1 Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept Group’s Access List ID: 1 REDES DE COMPUTADORAS 11
  • 12. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA CLI 1. Zonas e interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust set interface ethernet2 ip 10.2.1.1/24 2. Lista de accesos set vrouter trust access-list 1 permit ip 224.4.4.1/32 1 3. IGMP set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp accept groups 1 set interface ethernet1 protocol igmp enable set interface ethernet2 protocol igmp router set interface ethernet2 protocol igmp accept groups 1 set interface ethernet2 protocol igmp enable save Después de configurar IGMP en ethernet1 y ethernet2, debe configurar un protocolo de enrutamiento multicast, como PIM, para reenviar el tráfico multicast. 1.2.4. Verificación de una configuración de IGMP Para verificar la conectividad y asegurarse de que IGMP se esté ejecutando correctamente, existe una serie de comandos exec y get que puede utilizar. Para enviar consultas generales o específicas de grupos a una interfaz en particular, utilice el comando exec igmp interface interfaz query. Por ejemplo, para enviar una consulta general desde ethernet2, introduzca el siguiente comando: REDES DE COMPUTADORAS 12
  • 13. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA exec igmp interface ethernet2 query Para enviar una consulta específica de grupo desde ethernet2 al grupo multicast 224.4.4.1, introduzca el siguiente comando: exec igmp interface ethernet2 query 224.4.4.1 Para enviar un informe de miembros de una interfaz en particular, utilice el comando exec igmp interface interfaz report. Por ejemplo, para enviar un informe de miembro desde ethernet2, introduzca el siguiente comando: exec igmp interface ethernet2 report 224.4.4.1 Puede revisar los parámetros IGMP de una interfaz al introducir el comando siguiente: device-> get igmp interface Interface trust support IGMP version 2 router. It is enabled. IGMP proxy is disabled. Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. There are 0 multicast groups active. Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 segundos query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds Este resultado enumera la siguiente información: IGMP versión (2) Estado del consultador (yo soy el consultador.) Set and unset parameters Para mostrar información sobre grupos multicast, ejecute el siguiente comando CLI: device-> get igmp group total groups matched: 1 multicast group interface last reporter expire ver REDES DE COMPUTADORAS 13
  • 14. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA *224.4.4.1 trust 0.0.0.0 ------ v2 1.3. CAPITULO III: PROXY DE IGMP Los enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; no reenvían mensajes IGMP más allá de su red local. Puede permitir que las interfaces de un dispositivo de seguridad de Juniper Networks reenvíen mensajes IGMP un salto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast. Cuando ejecuta un proxy IGMP en un dispositivo de seguridad, las interfaces conectadas a hosts funcionan como enrutadores y aquellas conectadas a enrutadores en sentido ascendente funcionan como hosts. Las interfaces de host y enrutador generalmente están en zonas diferentes. Para permitir que los mensajes de IGMP pasen entre zonas, debe configurar una directiva multicast. Luego, para permitir que el tráfico de datos multicast pase entre zonas, también debe configurar una directiva de cortafuegos. En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una interfaz en el sistema virtual raíz (vsys) y la otra interfaz en vsys separados. A continuación, cree una directiva multicast para permitir tráfico de control multicast entre los dos sistemas virtuales. (Para obtener más información sobre los sistemas virtuales, consulte el Volumen 10: Sistemas virtuales.) Mientras las interfaces reenvían información de miembros IGMP, crean entradas en la tabla de rutas multicast del enrutador virtual al que están asociadas, formando un árbol de distribución multicast desde los receptores hasta el origen. Las siguientes secciones describen cómo las interfaces de hosts y enrutadores IGMP reenvían la información de miembros de IGMP en sentido ascendente hacia el origen, y cómo reenvían datos multicast en sentido descendente desde el origen hasta el receptor. 1.3.1. Configuración del proxy de IGMP INFORMES DE MIEMBROS EN SENTIDO ASCENDENTE HACIA EL ORIGEN Cuando un host conectado a una interfaz de enrutador en un dispositivo de seguridad se une a un grupo multicast, envía un informe de miembros al grupo multicast. Cuando la interfaz del enrutador recibe el informe de miembros del REDES DE COMPUTADORAS 14
  • 15. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA host que se acaba de conectar, comprueba si tiene una entrada para el grupo multicast. A continuación, el dispositivo de seguridad lleva a cabo una de las acciones siguientes: Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora el informe de miembros. Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast, comprueba si hay una directiva multicast para el grupo que especifique a qué zona la interfaz del enrutador debe enviar el informe o Si no hay ninguna directiva multicast para el grupo, la interfaz del enrutador no reenvía el informe. o Si hay alguna directiva multicast para el grupo, la interfaz del enrutador crea una entrada para el grupo multicast y reenvía el informe de miembros a la interfaz del host proxy en la zona especificada en la directiva multicast Cuando una interfaz del host proxy recibe el informe de miembros, comprueba si tiene una entrada (*, G) para ese grupo multicast. Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz del enrutador a la lista de las interfaces de salida para esa entrada. Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del enrutador. A continuación, la interfaz del host proxy reenvía el informe a su enrutador en sentido ascendente. DATOS MULTICAST EN SENTIDO DESCENDENTE A LOS RECEPTORES Cuando la interfaz del host en el dispositivo de seguridad recibe datos multicast para un grupo multicast, comprueba si hay una sesión existente para ese grupo. Si hay una sesión para el grupo, la interfaz reenvía los datos multicast basándose en la información de la sesión. Si no hay sesión para el grupo, la interfaz comprueba si el grupo tiene una entrada (S, G) en la tabla de rutas multicast. o Si hay una entrada (S, G), la interfaz reenvía los datos multicast en consecuencia. o Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna entrada (*, G) para el grupo. o Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta el paquete. o Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una entrada (S, G). Cuando la interfaz recibe paquetes multicast REDES DE COMPUTADORAS 15
  • 16. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA subsiguientes para ese grupo, reenvía el tráfico a la interfaz del enrutador (la interfaz de salida) que, a su vez, reenvía el tráfico a su host conectado. En esta sección se describen los pasos básicos necesarios para configurar IGMP proxy en un dispositivo de seguridad de Juniper Networks: 1) Habilitar IGMP en el modo host en interfaces en sentido ascendente. De forma predeterminada, el proxy de IGMP está habilitado en las interfaces de hosts. 2) Habilitar IGMP en el modo enrutador en interfaces en sentido descendente. 3) Habilitar IGMP proxy en interfaces de enrutador. 4) Configurar una directiva multicast que permita que el tráfico de control multicast pase de una zona a otra. 5) Configurar una directiva para entregar tráfico de datos entre zonas. La siguiente figura muestra un ejemplo de una configuración de host proxy de IGMP. Figura 3: Configuración del host proxy IGMP 1.3.2. Configuración de un proxy de IGMP en una interfaz REDES DE COMPUTADORAS 16
  • 17. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA Cuando ejecute IGMP proxy en un dispositivo de seguridad, la interfaz en sentido descendente se configura en modo enrutador y la interfaz en sentido ascendente en modo host. (Observe que una interfaz puede estar en modo host o en modo enrutador, pero no en ambos). Además, para que una interfaz de enrutador reenvíe el tráfico multicast, debe ser el consultador en la red local. Para permitir que una interfaz no consultada reenvíe el tráfico multicast, debe especificar la palabra clave always al habilitar IGMP en la interfaz. De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de su propia subred. Ignora los mensajes IGMP procedentes de orígenes externos. Debe habilitar el dispositivo de seguridad para que acepte mensajes IGMP procedentes de orígenes de otras subredes cuando ejecute IGMP proxy. En este ejemplo, la interfaz ethernet1 tiene la dirección IP 10.1.2.1/24 y está conectada al enrutador en sentido ascendente. Configure lo siguiente en ethernet1: Habilite IGMP en el modo host Permita que acepte mensajes IGMP desde todos los orígenes, sin importar la subred La interfaz ethernet3 tiene la dirección IP 10.1.1.1/24 y está conectada a los hosts. Configure lo siguiente en ethernet3: Habilite IGMP en el modo enrutador. Permita que reenvíe tráfico multicast aunque no sea un consultador. Permita que acepte mensajes IGMP procedentes de orígenes de otras subredes. WebUI 1. Zona e interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK: Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos, luego haga clic en Apply: Zone Name: Trust IP Address/Netmask: 10.1.1.1/24 2. IGMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) REDES DE COMPUTADORAS 17
  • 18. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en OK: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy: (seleccione) Always (seleccione) CLI 1. Zona e interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet3 zone trust set interface ethernet1 ip 10.1.1.1/24 2. IGMP set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface ethernet3 protocol igmp router set interface ethernet3 protocol igmp proxy set interface ethernet3 protocol igmp proxy always set interface ethernet3 protocol igmp enable set interface ethernet3 protocol igmp no-check-subnet save 1.3.3. Directivas multicast para configuraciones de IGMP y proxy de IGMP Normalmente, un dispositivo de seguridad intercambia mensajes IGMP sólo con sus hosts conectados. Con IGMP proxy, los dispositivos de seguridad podrían necesitar enviar mensajes IGMP a un host o a un enrutador en otra zona. Para permitir el envío de mensajes IGMP entre zonas, debe configurar una directiva multicast que lo permita específicamente. Cuando cree una directiva multicast, debe especificar lo siguiente: Origen: La zona desde la que se inicia el tráfico Destino: La zona a la que se envía el tráfico Grupo multicast: Puede ser un grupo multicast, una lista de accesos que especifique grupos multicast o “any”. Además, puede especificar que la directiva sea bidireccional para aplicar la directiva a ambos sentidos del tráfico. CREACIÓN DE UNA DIRECTIVA DE GRUPO MULTICAST PARA IGMP REDES DE COMPUTADORAS 18
  • 19. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA En este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la interfaz del host en la zona Untrust. Defina una directiva multicast que permita que los mensajes IGMP para el grupo multicast 224.2.202.99/32 puedan pasar entre las zonas Trust y Untrust. Utilice la palabra clave bidirectional para permitir el tráfico en ambos sentidos. WebUI MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32 Bidirectional: (seleccione) IGMP Message: (seleccione) CLI set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust igmp-message bi-directional sabe CREACIÓN DE UNA CONFIGURACIÓN DE PROXY DE IGMP Como se indica en la Figura 26, se configura IGMP proxy en los dispositivos de seguridad NS1 y NS2. Están interconectados a través de un túnel VPN. Realice los pasos siguientes en los dispositivos de seguridad de ambas ubicaciones: 1) Asignar direcciones IP a las interfaces físicas asociadas a las zonas de seguridad. 2) Crear los objetos de direcciones 3) Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP proxy en la interfaz del enrutador. (De forma predeterminada, IGMP proxy está habilitado en las interfaces de host). a. Especificar la palabra clave always (siempre) en ethernet1 de NS1 para permitir que reenvíe el tráfico multicast aunque no sea consultador. b. De forma predeterminada, una interfaz IGMP sólo acepta paquetes IGMP de su propia subred. En el ejemplo, las interfaces están en subredes diferentes. Cuando habilite IGMP, permita que las interfaces acepten paquetes IGMP (consultas, informes de miembros y mensajes leave) procedentes de cualquier subred. 4) Configurar las rutas. 5) Configurar el túnel VPN 6) Configurar una directiva para transmitir tráfico de datos entre zonas. REDES DE COMPUTADORAS 19
  • 20. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 7) Configurar una directiva multicast para entregar mensajes IGMP entre zonas. En este ejemplo, restringirá el tráfico multicast a un grupo multicast (224.4.4.1/32). WebUI (NS1) 1. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr) 2. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust 3. IGMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) 4. Rutas Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione) REDES DE COMPUTADORAS 20
  • 21. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 5. VPN VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3 6. Directiva Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit 7. Directiva multicast MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione) CLI (NS1) 1. Interfaces Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 2. Direcciones set address untrust branch1 10.3.1.0/24 3. IGMP set interface ethernet1 protocol igmp host REDES DE COMPUTADORAS 21
  • 22. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet 4. Rutas set route 10.3.1.0/24 interface tunnel.1 5. Túnel VPN set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any 6. Directiva set policy name To_Branch from untrust to trust branch1 any any permit 7. Directiva multicast set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional sabe 1.3.4. Configuración de un proxy de remitente de IGMP En IGMP proxy, el tráfico multicast generalmente viaja en sentido descendente desde la interfaz del host a la interfaz del enrutador. En determinadas situaciones, el origen puede estar en la misma red que la interfaz del enrutador. Cuando un origen se conecta a una interfaz que se encuentra en la misma red a la que la interfaz del proxy del enrutador IGMP envía tráfico multicast, el dispositivo de seguridad comprueba si hay lo siguiente: Una directiva del grupo multicast que permite el tráfico desde la zona de origen a la zona de la interfaz del host IGMP proxy Una lista de accesos de los orígenes aceptables Si no hay ninguna directiva multicast entre la zona de origen y la zona de la interfaz IGMP proxy o si el origen no se encuentra en la lista de orígenes aceptables, el dispositivo de seguridad descarta el tráfico. Si existe una directiva REDES DE COMPUTADORAS 22
  • 23. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA multicast entre la zona de origen y la zona de la interfaz IGMP proxy, y el origen aparece en la lista de orígenes aceptables, el dispositivo crea una entrada (S, G) para esa interfaz en la tabla de rutas multicast; la interfaz entrante es la interfaz a la que el origen está conectado y la interfaz saliente es la interfaz del host IGMP proxy. Luego, el dispositivo de seguridad envía los datos en sentido ascendente a la interfaz del host IGMP proxy, que envía los datos a todas sus interfaces de enrutador proxy conectadas, salvo a la interfaz conectada con el origen. La siguiente figura muestra un ejemplo del proxy de remitente de IGMP: Figura 4: Proxy de remitente de IGMP En la figura anterior el origen está conectado a la interfaz ethernet2, enlazada a la zona DMZ en NS2. Está enviando tráfico multicast al grupo multicast 224.4.4.1/32. Hay receptores conectados a la interfaz ethernet1 enlazada a la zona Trust en NS2. Tanto ethernet1 como ethernet2 son interfaces de enrutador IGMP proxy. La interfaz ethernet3 asociada a la zona Untrust de NS2 es una interfaz de host de IGMP proxy. También hay receptores conectados a la interfaz ethernet1 enlazada a la zona Trust en NS1. Realice los pasos siguientes en NS2: 1) Asignar direcciones IP a las interfaces físicas enlazadas a las zonas de seguridad. 2) Crear los objetos de direcciones. 3) En ethernet1 y ethernet2: a. Habilitar IGMP en el modo enrutador y habilitar IGMP proxy. b. Especifique la palabra clave always (siempre) para permitir que las interfaces reenvíen tráfico multicast incluso aunque no sean consultadores. 4) Habilitar IGMP en modo host en ethernet3. 5) Configurar la ruta predeterminada. 6) Configurar las directivas de cortafuegos entre las zonas. REDES DE COMPUTADORAS 23
  • 24. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 7) Configurar las directivas multicast entre las zonas. WebUI (NS2) 1. Interfaces Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr) 2. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust 3. IGMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) 4. Rutas Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione) REDES DE COMPUTADORAS 24
  • 25. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA 5. VPN VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3 6. Directiva Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit 7. Directiva multicast MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione) CLI (NS2) 1. Interfaces Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3 2. Direcciones set address untrust branch1 10.3.1.0/24 3. IGMP set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet REDES DE COMPUTADORAS 25
  • 26. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet 4. Rutas set route 10.3.1.0/24 interface tunnel.1 5. Túnel VPN set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any 6. Directiva set policy name To_Branch from untrust to trust branch1 any any permit 7. Directiva multicast set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save CONCLUSIONES El Protocolo de Mensajes de Control de Internet: Es el sub protocolo de control y notificación deerrores del Protocolo de Internet (IP). Se utiliza para enviar mensajes de error y no tomaacciones sobre éste. Difiere del propósito de TCP y UDP ya quegeneralmente no se utiliza directamente por lasaplicaciones de usuario en la red: La única excepción es la herramienta ping ytraceroute. REDES DE COMPUTADORAS 26
  • 27. UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA BIBLIOGRAFÍA MANUAL DE REFERENCIA SCREENOS, VOL 7 “ENRUTAMIENTO”, CAP 8, Protocolo de administración de grupos de internet. Edit. ”Sunnyvale” http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/TCP_IP_Aplicacione s.pdf http://www.elcontador.com.ar/modules.php?name=News&file=article&sid=166 http://es.wikipedia.org/wiki/Internet_Group_Management_Protocol http://csie.unavarra.es/php_documentacion/tecnologia/IGMP/index.php REDES DE COMPUTADORAS 27