SlideShare una empresa de Scribd logo

Redes - Enrutamiento por Directivas

Descargar como DOCX, PDF
Roger Abel Peláez Bailón
Roger Abel Peláez Bailón

Redes de Computadora

1 de 32
REDES DE COMPUTADORAS ENRUTAMIENTO BASADOS EN DIRECTIVAS 02/12/2013 INGENIERIA MECATRONICA
Índice general INTRODUCCION - - - - - - - - - - - - - - - -2 1. MARCO TEORICO- - - - - - - - - - - - - - - -3 1.1. CAPITULO 6: ENRUTAMIENTO BASADOS EN DIRECTIVAS- - - - - -3 1.1.1. VISTA GENERAL DEL ENRUTAMIENTO BASADO EN DIRECTIVAS- -    3 LISTAS DE ACCESO EXTENDIDAS GRUPOS DE COINCIDENCIAS GRUPOS DE ACCIONES 1.1.2. CONSULTA DE RUTAS CON ENRUTAMIENTO BASADO EN DIRECTIVAS4 1.1.3. CONFIGURACION DEL ENRUTAMIENTO BASADO EN DIRECTIVAS- - - 5     CONFIGURACION DE UNA LISTA DE ACCESO EXTENDIDA CONFIGURACION DE UN GRUPO DE ACCIONES CONFIGURACION DE UNA DIRECTIVA PBR ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS 1.1.4. VISUALIZACION DE LA SALIDA DE ENRUTAMIENTO BASADO EN DIRECTIVAS19  VISUALIZACION DE UNA LISTA DE ACCESO EXTENDIDA  VISUALIZACION DE UN GRUPO DE COINCIDENCIAS  VISUALIZACION DE UN GRUPO DE ACCIONES  VISUALIZACION DE LA CONFIGURACION DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS  VISUALIZACION DE LA CONFIGURACION COMPLETA DE ENRUTAMIENTO BASADO EN DIRECTIVAS 1.1.5. EJEMPLO DE PBR AVANZADO- - - - - - - - - - - -24 1.1.6. PBR AVANZADO CON ALTA DISPONIBILIDAD Y POSIBILIDAD DE AMPLIACION29 2. CONCLUSIONES 3. ANEXOS 4. BIBLIOGRAFIA Redes de Computadoras - - - - - - - - - - - - - -30 - - - - - - - - - - - - - - 31 - - - - - - - - - - - - - - 31 Página 1
INTRODUCCION Las redes de la actualidad tienen un impacto significativo en nuestras vidas, ya que cambian nuestra forma de vivir, trabajar y divertirnos. Las redes de computadoras (y en un contexto más amplio, Internet) permiten a las personas comunicarse, colaborar e interactuar de maneras totalmente novedosas. Utilizamos la red de distintas formas, entre ellas las aplicaciones web, la telefonía IP, la videoconferencia, los juegos interactivos, el comercio electrónico, la educación y más. En el centro de la red se encuentra el router. En pocas palabras, un router conecta una red con otra red. Por lo tanto, el router es responsable de la entrega de paquetes a través de diferentes redes. El destino de un paquete IP puede ser un servidor Web en otro país o un servidor de correo electrónico en la red de área local. Es responsabilidad de los routers entregar esos paquetes a su debido tiempo. La efectividad de las comunicaciones de internetwork depende, en gran medida, de la capacidad de los routers de reenviar paquetes de la manera más eficiente posible. En la actualidad, se están incorporando routers a los satélites en el espacio. Estos routers tendrán la capacidad de enrutar el tráfico IP entre los satélites del espacio de un modo muy similar al que se transportan los paquetes en la Tierra, de manera que se reduzcan las demoras y se ofrezca una mayor flexibilidad para el trabajo en red. ROUTER Redes de Computadoras Página 2
1. MARCO TEORICO 1.1. ENRUTAMIENTO BASADO EN DIRECTIVAS 1.1.1. VISTA GENERAL BASADO EN DIRECTIVAS El enrutamiento PBR proporciona un mecanismo de enrutamiento para las redes que se basan en el soporte de la capa de aplicación, como el antivirus (AV), deep inspection (DI) o antispam, filtrado de web o que requieren de una vía automática para aplicaciones específicas. Como primera parte del proceso de consulta de rutas, ScreenOS revisa si hay PBR y la revisión de PBR es transparente para todo el tráfico que no es PBR, cuando un paquete entra en el dispositivo de seguridad. PBR está habilitado en el nivel de interfaz y configurado dentro de un contexto de enrutador virtual; pero puede elegir la asociación de las directivas de PBR a una interfaz, una zona, un enrutador virtual (VR) o una combinación de interfaz, zona o VR. Se utilizan los siguientes tres módulos para crear una directiva de PBR:  Listas de acceso extendidas  Grupos de coincidencias  Grupos de acciones  LISTAS DE ACCESO EXTENDIDAS Las listas de acceso extendido enumeran los criterios de coincidencia que define para las directivas de PBR. Los criterios de coincidencia de PBR determinan la ruta de un flujo determinado de tráfico de datos. Los criterios de coincidencia incluyen los siguientes:       Dirección IP de origen Dirección IP destino Puerto de origen Puerto de destino Protocolo, como HTTP Prioridad de calidad de servicio (QoS) (opcional)  GRUPOS DE COINCIDENCIAS Los grupos de coincidencias proporcionan una manera de organizar (por grupo, nombre y prioridad) las listas de acceso extendidas. Los grupos de coincidencias asocian el número de ID de lista de acceso extendida con un nombre de grupo de coincidencias única y un número de ID de grupo de coincidencias. Este número de ID de grupo de coincidencias define el orden en el cual desea que el dispositivo de seguridad procese las listas de ACL extendidas. Puede asignar varias listas de acceso extendidas al mismo grupo de coincidencias. Redes de Computadoras Página 3
 GRUPOS DE ACCIONES Los grupos de acciones especifican la ruta que desea que tome el paquete. Se especifica la “acción” de la ruta al definir la siguiente interfaz, el salto siguiente o ambos. Cada entrada de acción configurada se supervisa para revisar la accesibilidad como se muestra a continuación: Accesibilidad únicamente de la siguiente interfaz Si la siguiente interfaz está activa, la entrada de acción es posible. Cualquier interfaz, incluyendo todas las interfaces lógicas, tales como de túnel, agregadas o redundantes, que son visibles en el VR en el cual reside la directiva, son candidatas para la siguiente interfaz. Por ejemplo, si configura la entrada de acción con una interfaz NULL, la entrada de acción es alcanzable todo el tiempo. Con una interfaz NULL como la siguiente interfaz, la consulta de PBR siempre tiene éxito, de manera que ScreenOS detiene la consulta de rutas y descarta los paquetes. Accesibilidad únicamente de salto siguiente Si asocia el grupo de acciones únicamente con el salto siguiente, éste debe ser alcanzable a través de una entrada de ruta en la tabla de enrutamiento de las rutas de destino. El salto siguiente configurado es alcanzable en tanto exista una ruta válida en la tabla de enrutamiento de rutas de destino para resolver el salto siguiente . Accesibilidad de la siguiente interfaz y de salto siguiente Si el salto siguiente es alcanzable a través de la siguiente interfaz, la entrada de acción es alcanzable. Cualquier interfaz incluyendo todas las interfaces lógicas, tal como túnel, agregado o redundante, que son visibles en VR en el cual reside la directiva, son candidatas para ser la siguiente interfaz. ScreenOS descarta el paquete si el salto siguiente es alcanzable pero la siguiente interfaz es una interfaz NULL. Si configura la entrada de acción con una interfaz NULL como la siguiente interfaz y el salto siguiente como ruta estática, ScreenOS pasa los paquetes a la ruta estática. 1.1.2. CONSULTA DE RUTAS CON ENRUTAMIENTO BASADO EN DIRECTIVAS Cuando se habilita el enrutamiento basado en directivas en una interfaz, ScreenOS revisa todo el tráfico enviado a esa interfaz para ver si incluye enrutamiento basado en directivas. Cuando un paquete entra al dispositivo de seguridad, ScreenOS revisa la interfaz de entrada para una configuración de directiva de PBR. Si PBR está habilitado en esa interfaz de entrada, se aplican las siguientes acciones al paquete: Redes de Computadoras Página 4
ScreenOS aplica la directiva de PBR asociada a la interfaz de entrada al paquete. Si no existe una directiva de PBR al nivel de la interfaz, entonces ScreenOS aplica la directiva de PBR unida a la zona asociada con la interfaz de entrada al paquete. Si no existe una directiva de PBR al nivel de zona, entonces ScreenOS aplica la directiva de PBR unida a VR asociado con la interfaz de entrada al paquete. ScreenOS encuentra el grupo de coincidencias y luego procesa las entradas de grupo de acciones. La primera entrada de acción alcanzable del grupo de acciones con una ruta válida es la que se utiliza para reenviar el paquete. Si no existen rutas alcanzables entre las entradas de acción, entonces se realiza una consulta de rutas regular. Si la entrada de acción es alcanzable, ScreenOS realiza una consulta de rutas con la interfaz preferida como la siguiente interfaz (si se especifica) y el salto siguiente como la dirección IP (si se especifica) en lugar de utilizar el IP de destino. Si una ruta coincide con la siguiente interfaz y salto siguiente indicados, ScreenOS reenvía el paquete. De lo contrario, ScreenOS utiliza la dirección IP de destino. 1.1.3. CONFIGURACIÓN DEL ENRUTAMIENTO BASADO EN DIRECTIVAS ENRUTAMIENTO Esta característica dota de la capacidad de instalar un enrutador software, así como plataforma abierta para el enrutamiento y las conexiones de red, pudiendo ofrecer servicios de enrutamiento en entornos de red de área local (LAN) y de red de área extensa (WAN), o incluso a través de Internet mediante el uso de conexiones VPN seguras. El componente de enrutamiento se utiliza para servicios de enrutamiento multiprotocolo LAN a LAN, LAN a WAN, VPN y NAT. Un enrutador es un dispositivo que administra el flujo de datos entre segmentos de red o subredes, dirigiendo los paquetes entrantes y salientes a partir de la información que contiene sobre el estado de sus propios adaptadores de red y una lista de posibles orígenes y destinos del tráfico de red. El tráfico de red soportado por el enrutador y las necesidades de enrutamiento, determinarán el número y los tipos de dispositivos de hardware y aplicaciones necesarios, siendo posible utilizar un enrutador de hardware dedicado, un enrutador basado en software o una combinación de ambos. Normalmente, los enrutadores de hardware dedicados controlan mejor las demandas de enrutamiento más complejas, mientras que los enrutadores basados en software, controlan cargas de enrutamiento más ligeras. En redes de comunicaciones TCP/IP, enrutamiento basado en políticas (del inglés Policy-based routing o PBR) es una técnica para implementar decisiones de enrutamiento basadas en políticas definidas por el administrador de la red.El comportamiento habitual de un enrutador o router cuando recibe un paquete es la de reenviarlo en función de la dirección IP destino incluida en el paquete, que utiliza para comparar con su tabla de enrutamiento. Sin embargo, en algunos casos puede ser interesante reenviar el tráfico según otroscriterios, como la dirección origen del paquete, el tipo de tráfico o cualquier otra información contenida en el paquete. Redes de Computadoras Página 5
La Figura 1 muestra una manera en que PBR diferencia las rutas de tráfico de servicio enviando el tráfico de HTTP a lo largo de una ruta y el tráfico de HTTPS a lo largo de otra. La Figura 20 muestra dos nodos, uno en 172.18.1.10 y otro en 172.18.2.10. Cuando el dispositivo de seguridad recibe el tráfico de HTTP, ScreenOS enruta el tráfico a través del enrutador 172.24.76.1; y cuando el dispositivo de seguridad recibe el tráfico de HTTPS, ScreenOS enruta el tráfico a través del enrutador 172.24.76.2. Lo contrario sucede en el nodo 172.18.2.10. El tráfico de HTTP del nodo 172.18.2.10 fluye al enrutador 172.24.76.2 y el tráfico de HTTPS fluye al enrutador 172.24.76.1. Figura 1: Enrutamiento del tráfico de HTTP y HTTPS con enrutamiento basado en Directivas  CONFIGURACIÓN DE UNA LISTA DE ACCESO EXTENDIDA Las listas de acceso son conjuntos de reglas que indican al router como seleccionar paquetes. Una vez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos más extendidos de las listas de acceso es el de controlar el flujo de tráfico entrante y saliente de un router. Las reglas que componen las listas de acceso tienen tres partes: un número que identifica la lista, una instrucción deny o permit y una condición access-list número identificador [permit|deny] condición. El número utilizado para identificar una lista concreta debe ser seleccionado de un rango numérico acorde con el uso concreto de la lista. Redes de Computadoras Página 6
Tabla n° 1 Se realizará una simulación de red en el programa Packet Tracer. El protocolo de enrutamiento empleado será RIP Versión 2, se debe probar la conectividad de la red y después configurar listas de acceso en los routers para evitar que el host de dirección ip 172.30.0.2/16 acceda a la subred 3. Ningún computador de la subred 2 debe tener acceso a la subred 1. Tabla n°2 Redes de Computadoras Página 7
CONFIGURACIONES A continuación se muestra la configuración en cada uno de los routers. Redes de Computadoras Página 8
RESULTADOS El host 172.30.0.2 no puede comunicarse a la subred 3 .Se realiza una prueba de ping desde el host en cuestión. Se observa que el mismo no obtiene respuesta desde la subred 3. Se realiza la misma prueba con otro computador de la subred 1 y se comprueba que éste si obtiene respuesta de la subred 2. La subred 2 no tiene acceso a la Subred 1. Se realiza un ping a un host de la subred 1, el ping falla. Redes de Computadoras Página 9
Se realiza otro ping hacia la subred 3, el ping es exitoso. PRUEBA DE PROTOCOLO DE ENRUTAMIENTO El protocolo de enrutamiento permite el cálculo dinámico de las rutas en caso que falle un enlace, esto provoca que si la lista de acceso se configuró sobre una sola interfaz del router y debido a cambios de topologías, el tráfico deja de atravesar ésta interfaz; la lista de acceso no cumple más su objetivo. Se realizó ésta prueba en el simulador. Se desconecta el enlace entre el Router 1 y el Router 2, unidos mediante las interfaces en las que se configuraron las listas de acceso. La tabla de rutas se actualiza dinámicamente en los routers. Redes de Computadoras Página 10
Ya que la lista de acceso se aplicó sobre la interfaz conectada al switch un cambio en la topología no la afectaría sin antes afectar toda la conectividad de la subred 1.  Las “Access Lists” se utilizan para implementar seguridad en los enrutadores Permiten alto grado de control en la red Filtran el flujo de paquetes entrando o saliendo de las interfaces del enrutador Restringen el uso de la red a ciertos usuarios o equipos Prohíben o permiten tipos de tráfico  Reglas de Aplicación de las Listas de Acceso Se analizan en orden secuencial: línea 1, línea 2, etc. La información de un paquete se compara con la lista hasta que una coincidencia ocurre. Luego de esto NO se sigue comparando. Existe una línea de prohibición tácita al final de cada lista. Si un paquete no coincide con ninguna regla, al final se descarta.  Utilización de las listas de acceso  Listas de Acceso Estándar (1 - 99) Especificaciones de direcciones más simples. Generalmente permiten o prohíben el datagrama IP completo.  Listas de Acceso Extendidas (100 - 199) Forma más compleja de especificar direcciones Generalmente permiten o prohíben protocolos (puertos) Específicos Redes de Computadoras Página 11
 Sintaxis de las Listas de Acceso Sintaxis de las listas estándar Access-list access-list-number {permit | deny} source {source-mask} ip access-group access-list -number {in | out} Sintaxis de las listas extendidas Access-list access-list-number {permit | deny} protocol source {source-mask} destination {destination-mask} ip access-group access-list -number {in | out}  Dónde Aplicar las Listas de Acceso Aplique las listas de acceso lo más cerca posible de donde se origina el tráfico  Ejemplo de Lista de Acceso Hacer coincidir las subredes 192.168.0.0 a 192.168.64.0 ip access-list 99 192.168.0.0 0.0.63.255 Los bits de la meta-máscara indican cómo interpretar los bits de la dirección 0=coincide „1=ignora Coincidir con cualquier dirección IP „0.0.0.0 255.255.255.255 „O abrevie la expresión utilizando la palabra any Coincidir con un nodo en específico „192.168.1.5 0.0.0.0 „O abrevie la expresión utilizando la palabra Host Redes de Computadoras Página 12
 Permitir acceso Telnet a mi red solamente Access-list 1 permits 192.168.32.192 0.0.0.15 Access-list 1 deny any Line vty 0 Access-class 1 in  Ejemplo de lista de acceso estándar  Redes de Computadoras Página 13
 Ejemplo de lista de acceso extendida Prohibir la entrada de tráfico SNMP Redes de Computadoras Página 14
 CONFIGURACIÓN DE UN GRUPO DE COINCIDENCIAS CONFIGURACIÓN DE DOS ENRUTADORES VIRTUALES Se pueden configurar varios enrutadores virtuales (VRs) en un dispositivo NetScreen manteniendo una tabla de enrutamiento separada para cada VR. De forma predeterminada, todas las zonas de seguridad predefinidas y definidas por el usuario están asociadas al trust-vr. Esto significa que todas las interfaces asociadas a esas zonas de seguridad también pertenecen al trustvr. Esta sección analiza cómo asociar una zona de seguridad (y sus interfaces) al VR untrust-vr. Se puede asociar una zona de seguridad a un sólo VR. Se pueden asociar varias zonas de seguridad a un sólo VR cuando no hay superposición de direcciones entre zonas. Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una vez que una zona está asociada a un VR, todas las interfaces de la zona pertenecen al VR. Se puede cambiar el vínculo de una zona de seguridad de un VR a otro, pero primero hay que quitar todas las interfaces de la zona. A continuación se enumeran los pasos básicos para asociar una zona de seguridad al VR untrustvr: 1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. No se puede modificar el vínculo de zona a VR si hay una interfaz asignada a la zona. Si se ha asignado una dirección IP a una interfaz, es necesario eliminar la asignación de dirección antes de quitar la interfaz de la zona. 2. Asignar la zona al VR untrust-vr. 3. Asignar de nuevo las interfaces a la zona. Ejemplo: Asociación de una zona al untrust-vr En el siguiente ejemplo, la zona de seguridad untrust está asociada de forma predeterminada al trust-vr y la interfaz ethernet3 está asociada a la zona de seguridad untrust. (No hay otras interfaces asociadas a la zona de seguridad untrust). Primero se debe definir la dirección IP y la máscara de red de la interfaz ethernet3 con un valor de 0.0.0.0, después cambiar los enlaces para que la zona de seguridad untrust se asocie al untrust-vr. WebUI 1. Desasociar la interfaz de la zona untrust Network > Interfaces (ethernet3) >Edit: Introduzca los siguientes datos y haga clic en OK: Zone Name: Null IP Address/Netmask: 0.0.0.0/0 Redes de Computadoras Página 15
2. Asociar la zona untrust al untrust-vr Network > Zones (untrust) > Edit: Seleccione untrust-vr en la lista desplegable Virtual Router Name y haga clic en OK. 3. Asociar la interfaz a la zona untrust Network > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista desplegable Zone Name y haga clic en OK. CLI 1. Desasociar la interfaz de la zona untrust set interface ethernet3 0.0.0.0/0 unset interface ethernet3 zone. 2. Asociar la zona untrust al untrust-vrset zoneuntrustvruntrust-vr. 2. Asociar la interfaz a la zona untrust set interface eth3 zonaun trustsave. En las siguientes imágenes, el resultado del comando get zone de la izquierda muestra la interfaz, la zona y los enlaces predeterminados del enrutador virtual (VR). En los enlaces predeterminados, la zona untrust está asociada al trust-vr. El resultado del comando get zone de la derecha muestra la interfaz, zona y enlaces del VR después de haber reconfigurado los enlaces, la zona untrust está ahora asociada al untrust-vr. Redes de Computadoras Página 16
 CONFIGURACIÓN DE UNA DIRECTIVA DE PBR  Necesidad de definir políticas de enrutamiento En las redes IP actuales, las grandes organizaciones requieren la libertad para implementar enrutamiento en función de sus propias políticas, definidas de una manera que va más allá de los aspectos controlados por los protocolos de enrutamiento. Cuando determinado tráfico tiene que ser enviado por unos caminos específicos debido a cuestiones administrativas, el enrutamiento basado en políticas proporciona una solución. Los administradores de la red pueden crear políticas que provoquen selectivamente que determinados paquetes utilicen diferentes caminos. El enrutamiento basado en políticas también proporciona un mecanismo para marcar paquetes y así diferenciar distintos tipos de tráfico, pudiendo priorizar combinándolo con técnicas de gestión de colas (queuing).  Los beneficios de implementar enrutamiento basado en políticas Dentro de los beneficios que se pueden obtener de implementar PBR podemos destacar: Elección de proveedor de tránsito basado en direcciones origen: Los proveedores de servicio de Internet y otras organizaciones pueden utilizar PBR para encaminar el tráfico hacia diferentes conexiones de Internet según dónde se haya originado dicho tráfico. Calidad de Servicio (QoS): Se puede proporcionar QoS modificando los valores TOS o IP Precedente de una manera diferenciada en los router frontera. Ahorro de costes: Se pueden reducir los costes derivados de las comunicaciones diferenciando los tipos de tráfico que utilizan cada una de los circuitos, pudiendo combinar con circuitos permanentes o conmutados de diferentes anchos de banda y costes. Balanceo de carga: Además de las posibilidades de balanceo de carga sobre caminos de igual coste proporcionado por algunos protocolos de encaminamiento dinámico, es posible balancear entre diferentes caminos en función de las características del tráfico.1  Aplicación del enrutamiento basado en políticas Esta técnica se aplica sobre los paquetes entrantes. Todos los paquetes recibidos por un interfaz con PBR habilitado son considerados para encaminarlos en función de las políticas configuradas. El router hace pasar a los paquetes por unos filtros avanzados denominados mapas de ruta, y son reenviados al siguiente salto apropiado. Redes de Computadoras Página 17
 ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS Puede asociar una directiva de PBR a una interfaz, una zona o un enrutador virtual dentro de un contexto de enrutador virtual. ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UNA INTERFAZ Puede asociar la directiva de PBR directiva-re direccionar a la interfaz de ingreso. En este ejemplo, la interfaz es la interfaz trust. ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREEN ScreenOS puede dividir su componente de enrutamiento en dos o más enrutadores virtuales. Los enrutadores virtuales admiten protocolos de enrutamiento estático y dinámico, y protocolos multicast que se pueden activar de forma simultánea en un solo enrutador virtual. Los dispositivos Nets creen incorporan dos enrutadores virtuales predefinidos: • Trust-vr, que de forma predeterminada contiene todas las zonas de seguridad predefinidas y todas las zonas definidas por el usuario. • Untrust-vr, que de forma predeterminada no contiene ninguna zona de seguridad. Algunos dispositivos Nets creen permiten crear otros enrutadores virtuales personalizados. Dividiendo la información de enrutamiento en dos (o más) enrutadores virtuales, se puede controlar qué información de un determinado dominio de enrutamiento será visible desde otros dominios de enrutamiento. Por ejemplo, se puede mantener la información de enrutamiento de todas las zonas de seguridad de una red corporativa en el enrutador virtual predefinido trust-vr, y la información de enrutamiento de todas las zonas fuera de la red corporativa en el otro enrutador virtual predefinido untrust-vr. Gracias a que la in formación de la tabla de enrutamiento de un enrutador virtual no es visible desde el otro, la información de enrutamiento de la red interna se puede mantener aislada de fuentes no fiables situadas fuera de la empresa. Esto también significa que el tráfico procedente de zonas de un enrutador virtual no se reenvía automáticamente a las zonas de otro enrutador virtual aunque existan directivas que permitan el tráfico. Si desea que dos enrutadores virtuales puedan intercambiar tráfico de datos, deberá exportar las rutas entre esos VR o configurar una ruta estática en uno de ellos que defina al otro como siguiente salto (“nexthop”). Redes de Computadoras Página 18
ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UNA ZONA Puede asociar la directiva de PBR directiva-redireccionara una zona. En este ejemplo, la zona es la zona Trust. WebUI Network > Routing > PBR > Policy Binding CLI setzone trust pbr directiva-re direccionar ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UN ENRUTADOR VIRTUAL Puede asociar la directiva de PBR directiva-re direccionar a un enrutador virtual. En este ejemplo, el enrutador virtual es trust-vr. WebUI Network > Routing > PBR > Policy Binding CLI set vrouter trust-vr pbr directiva-re direccionar Visualización de la salida de enrutamiento basado en directivas Puede ver la información relacionada con el enrutamiento basado en directivas con WebUI o CLI. 1.1.4. VISUALIZACIÓN DE LA SALIDA DE ENRUTAMIENTO BASADO EN DIRECTIVAS Puede ver la información relacionada con el enrutamiento basado en directivas con WebUI o CLI.  Visualización de una lista de acceso extendida Puede ver la lista completa de las listas de acceso extendidas desde WebUI o CLI. En CLI puede especificar ver una lista de acceso extendida determinada. En el segundo ejemplo de CLI, el ejemplo muestra que existen dos listas de acceso extendidas en trust-vr, pero el usuario indicó la lista de acceso extendido 2. Según se especificó, ScreenOS regresó dos entradas de lista de acceso, 10 y 20, únicamente para la segunda lista de acceso extendida. WebUI Network > Routing > PBR > Access List Ext CLI 1 get vrouter trust-vr pbr access-list configuration Redes de Computadoras Página 19
Ejemplo: set access-list extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 1 src-port 200-300 entry 2 set access-list extended 2 dest-port 500-600 protocol udp entry 10 set access-list extended 2 dest-ip 50.50.50.0/24 protocol udp entry 20 CLI 2 get vrouter trust-vr pbr access-list 2 Ejemplo: PBR access-list: 2 in vr: trust-vr, number of entries: 2 -----------------------------------------------PBR access-list entry: 10 -----------------------dest port range 500-600 protocols: udp PBR access-list entry: 20 -----------------------destip-address 50.50.50.0/24 protocols: udp  Visualización de un grupo de coincidencias Puede ver los detalles de grupo de coincidencias desde WebUI o CLI. WebUI Network > Routing > PBR > Match Group CLI get vrouter trust-vr pbr match-group config Ejemplo: set match-group name pbr1_mg set match-group pbr1_mg ext-acl 1 match-entry 1 set match-group name pbr1_mg2 set match-group pbr1_mg2 ext-acl 2 match-entry 10 Redes de Computadoras Página 20
 Visualización de un grupo de acciones Puede ver los detalles de grupo de acciones desde WebUI o CLI. WebUI Network > Routing > PBR > Action Group CLI 1 get vrouter trust-vr pbr action-group configuration Ejemplo: set action-group name pbr1_ag set action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2 action-entry 1 set action-group name pbr1_ag2 set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10 set action-group pbr1_ag2 next-interface ethernet3 action-entry 20 set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60 action-entry 30 CLI 2 get vrouter trust-vr pbr match-group name pbr1_ag2 Ejemplo: device-> get vrtrpbr action-group name pbr1_ag2 PBR action-group: pbr1_ag2 in vr: trust-vr number of entries: 3 -----------------------------------------------PBR action-group entry: 10 next-interface: N/A, next-hop: 30.30.30.30 -----------------------PBR action-group entry: 20 next-interface: ethernet3, next-hop: 0.0.0.0 -----------------------PBR action-group entry: 30 next-interface: ethernet3, next-hop: 60.60.60.60 Redes de Computadoras Página 21
 Visualización de la configuración de una directiva de enrutamiento basado en directivas Puede ver la configuración de directivas de enrutamiento basado en directivas desde WebUI o CLI. En la CLI puede escoger ver la configuración o puede introducir el nombre de directiva para ver una configuración de directiva individual. WebUI Network > Routing > PBR > Policy CLI get vrouter trust-vr pbr policy config Ejemplo: set pbr policy name pbr1_policy set pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50 set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 25 CLI get vrouter trust-vr pbr policy name pbr1_policy Ejemplo: PBR policy: pbr1_policy in vr: trust-vr number of entries: 2 -----------------------------------------------PBR policy entry: 50 match-group: pbr1_mg2, action-group: pbr1_ag2 -----------------------PBR policy entry: 256 match-group: pbr1_mg, action-group: pbr1_ag Redes de Computadoras Página 22
 Visualización de la configuración completa de enrutamiento basado en directivas Puede ver la configuración de enrutamiento basado en directivas desde WebUI o CLI. WebUI Network > Routing > PBR > Access List Ext Network > Routing > PBR > Match Group Network > Routing > PBR > Action Group Network > Routing > PBR > Policy CLI get vrouter trust-vr pbr configuration Ejemplo: set access-list extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 1 src-port 200-300 entry 2 set access-list extended 2 dest-port 500-600 protocol udp entry 10 set access-list extended 2 dest-ip 50.50.50.0/24 protocol udp entry 20 set match-group name pbr1_mg set match-group pbr1_mg ext-acl 1 match-entry 1 set match-group name pbr1_mg2 set match-group pbr1_mg2 ext-acl 2 match-entry 10 set action-group name pbr1_ag set action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2 action-entry 1 set action-group name pbr1_ag2 set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10 set action-group pbr1_ag2 next-interface ethernet3 action-entry 20 set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60 action-entry 30 set pbr policy name pbr1_policy set pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50 set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 256 Redes de Computadoras Página 23
1.1.5. EJEMPLO DE PBR AVANZADO PBR (Enrutamiento basado en directivas) le permite definir y descargar únicamente los tipos de tráfico que ScreenOS necesita procesar. Durante el procesamiento de tipos específicos de tráfico, como el tráfico que necesita análisis antivirus (AV), la red no se satura porque no analiza los tipos de paquetes que no requieren análisis en busca de virus. NOTA: También se podría configurar PBR para enviar tráfico específico para antispam, deep inspection (DI), prevención y detección de intrusión (IDP), filtrado de web o caché. Puede combinar varios tipos de dispositivos de seguridad de Juniper Networks para que trabajen conjuntamente y proporcionen los servicios al mismo tiempo que mantienen una buena velocidad de procesamiento en la red y generan una carga de análisis de AV aceptable. La Figura muestra un dispositivo de seguridad que ejecuta PBR para dividir el tráfico de AV de todo el otro tráfico (derecha). Por ejemplo, si desea utilizar PBR para descargar únicamente el tráfico de HTTP, SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un dispositivo de seguridad con cuatro interfaces 10/100 disponibles para proporcionar enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la aplicación (AV). Por ejemplo, si desea utilizar PBR para descargar únicamente el tráfico de HTTP, SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un dispositivo de seguridad con cuatro interfaces 10/100 disponibles para proporcionar enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la aplicación (AV). Redes de Computadoras Página 24
NOTA:Si únicamente tiene tres interfaces 10/100 disponibles, puede colocar un conmutador entre los dos dispositivos de seguridad y utilizar el etiquetado VLAN (802.1q) para configurar las mismas rutas para el tráfico. En el siguiente ejemplo, realice los siguientes pasos para configurar el dispositivo de seguridad que proporciona las rutas de enrutamiento: 1. Configure el enrutamiento. 2. Configure PBR. 3. Enlace las directivas de PBR a las interfaces apropiadas. Las siguientes secciones explican cada uno de estos pasos. Los ejemplos muestran únicamente los comandos CLI y la salida. Para obtener más información sobre la configuración de AV, consulte el Volumen 4: Detección ataques y mecanismos de defensa. Enrutamiento En este ejemplo, necesita crear dos zonas personalizadas. Para configurar las zonas, introduzca los siguientes comandos: Con la información que se muestra en la Tabla 15, configurará cuatro interfaces 10/100 Ethernet. Configuración de interfaz para enrutamiento Para configurar las interfaces, introduzca los siguientes comandos: Después de configurar las zonas, las interfaces y las rutas, necesita realizar las siguientes dos tareas: Redes de Computadoras Página 25
1. Configure una ruta estática de untrust-vr a trust-vr. Asigne una dirección IP de la puerta de enlace de 10.251.10.0/24 y un valor de preferencia de 20 a la entrada: 2. Configure la interfaz NULL con un valor de preferencia mayor que cero (0) de la interfaz Trust a la interfaz Untrust: Puede verificar los cambios con el comando get route: Routing Table: IPv4 Dest-Routes for <untrust-vr> (6 entries) Ahora está listo para configurar PBR. Redes de Computadoras Página 26
 Elementos PBR Después de configurar las interfaces y rutas, puede configurar PBR. Para que PBR funcione correctamente, debe configurar los siguientes elementos para trust-vr: - Lista de acceso extendida Grupo de coincidencias Grupo de acciones Directiva de PBR  Listas de acceso extendidas Para este ejemplo, determinará que desea enviar el tráfico de HTTP (puerto 80), SMTP (puerto 110) y POP3 (puerto 25) para el procesamiento de AV. Para enviar estos tres tipos de paquetes a un dispositivo de seguridad, configure una lista de acceso extendido en trust-vr. NOTA: No necesita configurar una lista de acceso extendida para el tráfico de regreso ya que el dispositivo de seguridad realiza una consulta de sesión antes que una consulta de rutas y luego aplica una directiva de PBR según sea necesario. El tráfico de retorno tiene una sesión existente. Cuando cualquier cliente en la subred 10.251.10.0/24 inicia el tráfico que utiliza TCP al puerto 80, 110 ó 25, desea que ScreenOS compare ese tráfico con los criterios de lista de acceso extendida y realice la acción asociada con la lista de acceso. La acción obliga a ScreenOS a enrutar el tráfico como usted indica, y no como otro tráfico. Cada lista de acceso necesita tres entradas, una para cada tipo de tráfico de TCP al que se dirige. Para configurar la lista de acceso extendida para trust-vr, introduzca los siguientes comandos:  Grupos de coincidencias Un grupo de coincidencias asocia una lista de acceso extendida con un nombre significativo al que se hace referencia en la directiva de PBR. Primero introduzca un contexto de enrutador virtual, luego cree un grupo de coincidencias y finalmente agregue una entrada que asocia el nombre del grupo de coincidencias recientemente creado con una lista de acceso y el número de entrada. Redes de Computadoras Página 27
Para crear grupos de coincidencias en trust-vr, introduzca los siguientes comandos:  Grupos de acciones A continuación, creará un grupo de acciones, el cual indica a donde enviar el paquete. Para este ejemplo, creará un grupo de acciones para trust-vr con la acción establecida para enviar el tráfico al salto siguiente. PRECAUCIÓN: Si la acción es enviar el tráfico a la siguiente interfaz, el cambio de estado de enlace activará/desactivará la directiva de enrutamiento. Con el salto siguiente, la acción se resuelve con el protocolo de resolución de dirección (ARP). Para trust-vr, reenviará el tráfico con la instrucción de siguiente salto a través de 192.168.100.254 por medio de los siguientes comandos:  Directivas de PBR A continuación, definirá la directiva de PBR, que requiere de los siguientes elementos: - Nombre de la directiva de PBR Nombre del grupo de coincidencias Nombre del grupo de acciones Para configurar la directiva de PBR, introduzca los siguientes comandos: Redes de Computadoras Página 28
 Asociación de interfaces Finalmente, asociará la directiva de PBR a la interfaz de ingreso, e1. Para asociar la directiva de PBR a su interfaz de ingreso, introduzca los siguientes comandos: 1.1.6. PBR AVANZADO CON ALTA DISPONIBILIDAD Y POSIBILIDAD DE AMPLIACIÓN Con el ejemplo anterior de PBR como base, puede mejorar la flexibilidad de su red con alta disponibilidad (HA) o posibilidad de ampliación.  Solución de resistencia en PBR Una solución sólida de PBR puede incluir las siguientes configuraciones de dispositivo: - Dos dispositivos de seguridad que proporcionan red Otros dos dispositivos de seguridad que proporcionan análisis de AV Cada par de dispositivos ejecuta el protocolo de redundancia de NetScreen (NSRP) en una configuración activa/pasiva para proporcionar protección de cambio en caso de fallo. Para los dos dispositivos de seguridad que ejecutan el enrutamiento, un dispositivo se encarga de la función de enrutamiento si ocurre un fallo del hardware. En caso del par que proporciona el análisis de AV, si ocurre un fallo en uno de los dispositivos, el otro dispositivo se encarga de la función de análisis. NOTA: Para obtener más información, consulte el Volumen 11: Alta Disponibilidad.  Solución con posibilidad de ampliación en PBR Las soluciones PBR se amplían bien. Si necesita más capacidad, puede agregar más dispositivos de seguridad. Al dividir la subred /24 en dos subredes /25, puede configurar una lista de acceso extendida para la subred inferior /25 y otra lista de acceso extendido para la subred superior /25, luego agregue dos dispositivos de seguridad para proporcionar servicios de análisis en DMZ. También puede implementar el equilibrio de carga si crea una configuración de NSRP activa/activa. Un dispositivo puede procesar el tráfico de la subred inferior /25 y el otro dispositivo puede procesar el tráfico de la subred superior /25. Cada dispositivo respalda al otro. Redes de Computadoras Página 29
2. CONCLUSION El objetivo principal de un router es conectar múltiples redes y reenviar paquetes desde una red a la siguiente. Esto significa que un router normalmente tiene múltiples interfaces. Cada interfaz es un miembro o host en una red IP diferente. El router tiene una tabla de enrutamiento, que es una lista de redes conocidas por el router. La tabla de enrutamiento incluye direcciones de red para sus propias interfaces que son las redes conectadas directamente, además de direcciones de red para redes remotas. Una red remota es una red a la que se puede llegar únicamente reenviando el paquete a otro router. Las redes remotas se incorporan a la tabla de enrutamiento de dos maneras: si el administrador de red configura las rutas estáticas en forma manual o al implementar un protocolo de enrutamiento dinámico. Las rutas estáticas no tienen tanta sobrecarga como los protocolos de enrutamiento dinámico; sin embargo, las rutas estáticas requieren más mantenimiento si la topología es inestable o está en constante cambio. Los protocolos de enrutamiento dinámico se ajustan automáticamente a los cambios sin intervención alguna del administrador de la red. Los protocolos de enrutamiento dinámico requieren más procesamiento de la CPU y además usan una cierta cantidad de capacidad de enlace para mensajes y actualizaciones de enrutamiento. En muchos casos, una tabla de enrutamiento tendrá tanto rutas estáticas como dinámicas. Los routers toman su decisión principal de reenvío en la Capa 3, la capa de Red. Sin embargo, las interfaces del router participan en las Capas 1, 2 y 3. Los paquetes IP de Capa 3 se encapsulan en una trama de enlace de datos de Capa 2 y se codifican en bits en la Capa 1. Las interfaces del router participan en procesos de Capa 2 asociados con la encapsulación. Por ejemplo, una interfaz Ethernet en un router participa en el proceso ARP como otros hosts en esa LAN. Redes de Computadoras Página 30
3. ANEXOS http://es.wikipedia.org/wiki/Enrutamiento_basado_en_pol%C3%ADticas http://www.monografias.com/trabajos-pdf2/introduccion-protocolos-enrutamiento/introduccionprotocolos-enrutamiento.shtml#ixzz2mRndWtpt http://technet.microsoft.com/es-es/library/gg398512.aspx http://enredandoconredes.com/2012/09/ http://www.adminso.es/index.php/3._Ejemplo_sencillo_de_iptables 4. BIBLIOGRAFIA Policy routing Cisco Press article http://antonio_gallego.tripod.com/apuntes/listas.htm http://www.ite.educacion.es/formacion/materiales/85/cd/windows/pdf/M2Servicios_basicos/M21_enrutamiento.pdf http://www.systemconsultores.com/data/carpetas/2/CCNA2_Capitulo%201%20Introducci on%20al%20enrutamiento%20y%20reenvio%20de%20paquetes.pdf https://www.google.com.pe/url?sa=t&rct=j&q=&esrc=s&source=web&cd=12&cad=rja&sqi=2&ved=0CGU QFjAL&url=http%3A%2F%2Fwww.eslared.org.ve%2Fwalcs%2Fwalc2004%2Fapc-aa%2Farchivosaa%2F1e60354f4717edb9fb793dbc5219499d%2FEnrutamiento_IP_E5F6A.doc&ei=ZFGfUvGqBfLNsQTk04K wBQ&usg=AFQjCNGlx57VvBiJoPQqueGYuJOUL6LeUg&bvm=bv.57155469,d.eW0 Redes de Computadoras Página 31

Recomendados

Enrutamiento estatico sena
Enrutamiento estatico senaEnrutamiento estatico sena
Enrutamiento estatico sena
YinaGarzon
 
Funcion de la tabla de enrutamiento
Funcion de la tabla de enrutamientoFuncion de la tabla de enrutamiento
Funcion de la tabla de enrutamiento
Jose Hernandez Landa
 
Tabla enrutamiento
Tabla enrutamientoTabla enrutamiento
Tabla enrutamiento
Abner Bustamante Roman
 
Monografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadorasMonografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadoras
J-SociOs
 
Tabla de enrutamiento
Tabla de enrutamientoTabla de enrutamiento
Tabla de enrutamiento
Daniel Gvtierrex
 
Enrutamiento dinamico
Enrutamiento dinamicoEnrutamiento dinamico
Enrutamiento dinamico
TecnologiaTrabajos
 
Clasificacion de los protocolos de enrutamiento
Clasificacion de los protocolos de enrutamientoClasificacion de los protocolos de enrutamiento
Clasificacion de los protocolos de enrutamiento
Oscar
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
Oswaldo Monsalvo
 

Recomendados

Enrutamiento estatico sena
Enrutamiento estatico senaEnrutamiento estatico sena
Enrutamiento estatico sena
YinaGarzon
 
Funcion de la tabla de enrutamiento
Funcion de la tabla de enrutamientoFuncion de la tabla de enrutamiento
Funcion de la tabla de enrutamiento
Jose Hernandez Landa
 
Tabla enrutamiento
Tabla enrutamientoTabla enrutamiento
Tabla enrutamiento
Abner Bustamante Roman
 
Monografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadorasMonografía sobre Enrutamiento estático - Redes de computadoras
Monografía sobre Enrutamiento estático - Redes de computadoras
J-SociOs
 
Tabla de enrutamiento
Tabla de enrutamientoTabla de enrutamiento
Tabla de enrutamiento
Daniel Gvtierrex
 
Enrutamiento dinamico
Enrutamiento dinamicoEnrutamiento dinamico
Enrutamiento dinamico
TecnologiaTrabajos
 
Clasificacion de los protocolos de enrutamiento
Clasificacion de los protocolos de enrutamientoClasificacion de los protocolos de enrutamiento
Clasificacion de los protocolos de enrutamiento
Oscar
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
Oswaldo Monsalvo
 
Enrutamiento estático
Enrutamiento estáticoEnrutamiento estático
Enrutamiento estático
santiagocriollo10119
 
Investigación Enrutamiento
Investigación EnrutamientoInvestigación Enrutamiento
Investigación Enrutamiento
José Alexis Cruz Solar
 
dsddfd
dsddfddsddfd
dsddfd
solangeleal
 
Expocicion Enrutamiento Estatico
Expocicion Enrutamiento EstaticoExpocicion Enrutamiento Estatico
Expocicion Enrutamiento Estatico
JAIR STEFANO AGURTO ZAPATA
 
Características de los protocolos de enrutamiento
Características de los protocolos de enrutamientoCaracterísticas de los protocolos de enrutamiento
Características de los protocolos de enrutamiento
Alex Yungan
 
Cisco-Protocolos de Enrutamiento
Cisco-Protocolos de Enrutamiento Cisco-Protocolos de Enrutamiento
Cisco-Protocolos de Enrutamiento
Gerardo Galindo
 
Capitulo 3 enrutamiento dinámico CCNA
Capitulo 3 enrutamiento dinámico CCNACapitulo 3 enrutamiento dinámico CCNA
Capitulo 3 enrutamiento dinámico CCNA
Nathali Quiñones Puemape
 
´Protocolo estado enlace
´Protocolo estado enlace´Protocolo estado enlace
´Protocolo estado enlace
Adriiana Guerrero
 
ENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACEENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACE
Cecy Hernandez
 
Act. 3 protocolos de enrutamiento
Act. 3 protocolos de enrutamientoAct. 3 protocolos de enrutamiento
Act. 3 protocolos de enrutamiento
Carlos Adárraga
 
Protocolos De Enrutamiento
Protocolos De EnrutamientoProtocolos De Enrutamiento
Protocolos De Enrutamiento
VILMA
 
Protocolos
ProtocolosProtocolos
Protocolos
1 2d
 
Enrutamiento con ospf y eigrp
Enrutamiento con ospf y eigrpEnrutamiento con ospf y eigrp
Enrutamiento con ospf y eigrp
.. ..
 
Protocolos de enrutamiento
Protocolos de enrutamiento Protocolos de enrutamiento
Protocolos de enrutamiento
Jhon Arley Morales Ciro
 
Enrutamiento estático
Enrutamiento estáticoEnrutamiento estático
Enrutamiento estático
Jorge Arroyo
 
Ospf
OspfOspf
Ospf
Ender Perez
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
Unimag
 
Capitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoCapitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamiento
TeleredUSM
 
Anfora huelva Exploration 2 capitulo 10
Anfora huelva Exploration 2 capitulo 10Anfora huelva Exploration 2 capitulo 10
Anfora huelva Exploration 2 capitulo 10
Jose Luis Martin Romero
 
Clasificacion de los protocolos de enrutamiento (v.s.)
Clasificacion de los protocolos de enrutamiento (v.s.)Clasificacion de los protocolos de enrutamiento (v.s.)
Clasificacion de los protocolos de enrutamiento (v.s.)
Joaquin Moreno Duque
 
Grupo 5
Grupo 5Grupo 5
Grupo 5
alonsocr23
 
3 4小美樂歷險記
3 4小美樂歷險記3 4小美樂歷險記
3 4小美樂歷險記
anniet_1214
 

Más contenido relacionado

La actualidad más candente

ENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACEENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACE
Cecy Hernandez
 
Act. 3 protocolos de enrutamiento
Act. 3 protocolos de enrutamientoAct. 3 protocolos de enrutamiento
Act. 3 protocolos de enrutamiento
Carlos Adárraga
 
Protocolos De Enrutamiento
Protocolos De EnrutamientoProtocolos De Enrutamiento
Protocolos De Enrutamiento
VILMA
 
Protocolos
ProtocolosProtocolos
Protocolos
1 2d
 
Enrutamiento con ospf y eigrp
Enrutamiento con ospf y eigrpEnrutamiento con ospf y eigrp
Enrutamiento con ospf y eigrp
.. ..
 
Enrutamiento estático
Enrutamiento estáticoEnrutamiento estático
Enrutamiento estático
Jorge Arroyo
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
Unimag
 
Capitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoCapitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamiento
TeleredUSM
 

La actualidad más candente (20)

Enrutamiento estático
Enrutamiento estáticoEnrutamiento estático
Enrutamiento estático
 
Investigación Enrutamiento
Investigación EnrutamientoInvestigación Enrutamiento
Investigación Enrutamiento
 
dsddfd
dsddfddsddfd
dsddfd
 
Expocicion Enrutamiento Estatico
Expocicion Enrutamiento EstaticoExpocicion Enrutamiento Estatico
Expocicion Enrutamiento Estatico
 
Características de los protocolos de enrutamiento
Características de los protocolos de enrutamientoCaracterísticas de los protocolos de enrutamiento
Características de los protocolos de enrutamiento
 
Cisco-Protocolos de Enrutamiento
Cisco-Protocolos de Enrutamiento Cisco-Protocolos de Enrutamiento
Cisco-Protocolos de Enrutamiento
 
Capitulo 3 enrutamiento dinámico CCNA
Capitulo 3 enrutamiento dinámico CCNACapitulo 3 enrutamiento dinámico CCNA
Capitulo 3 enrutamiento dinámico CCNA
 
´Protocolo estado enlace
´Protocolo estado enlace´Protocolo estado enlace
´Protocolo estado enlace
 
ENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACEENRUTAMIENTO ESTADO ENLACE
ENRUTAMIENTO ESTADO ENLACE
 
Act. 3 protocolos de enrutamiento
Act. 3 protocolos de enrutamientoAct. 3 protocolos de enrutamiento
Act. 3 protocolos de enrutamiento
 
Protocolos De Enrutamiento
Protocolos De EnrutamientoProtocolos De Enrutamiento
Protocolos De Enrutamiento
 
Protocolos
ProtocolosProtocolos
Protocolos
 
Enrutamiento con ospf y eigrp
Enrutamiento con ospf y eigrpEnrutamiento con ospf y eigrp
Enrutamiento con ospf y eigrp
 
Protocolos de enrutamiento
Protocolos de enrutamiento Protocolos de enrutamiento
Protocolos de enrutamiento
 
Enrutamiento estático
Enrutamiento estáticoEnrutamiento estático
Enrutamiento estático
 
Ospf
OspfOspf
Ospf
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
 
Capitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamientoCapitulo 8 la tabla de enrutamiento
Capitulo 8 la tabla de enrutamiento
 
Anfora huelva Exploration 2 capitulo 10
Anfora huelva Exploration 2 capitulo 10Anfora huelva Exploration 2 capitulo 10
Anfora huelva Exploration 2 capitulo 10
 
Clasificacion de los protocolos de enrutamiento (v.s.)
Clasificacion de los protocolos de enrutamiento (v.s.)Clasificacion de los protocolos de enrutamiento (v.s.)
Clasificacion de los protocolos de enrutamiento (v.s.)
 

Destacado

3 4小美樂歷險記
3 4小美樂歷險記3 4小美樂歷險記
3 4小美樂歷險記
anniet_1214
 
Cert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applicationsCert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applications
DotNetCampus
 
Федеральная космическая программа 2013 2020 13.05.2014
Федеральная космическая программа 2013 2020 13.05.2014Федеральная космическая программа 2013 2020 13.05.2014
Федеральная космическая программа 2013 2020 13.05.2014
Dmitry Tseitlin
 
El deporte de_orientacion_en_el_ambito_educativo
El deporte de_orientacion_en_el_ambito_educativoEl deporte de_orientacion_en_el_ambito_educativo
El deporte de_orientacion_en_el_ambito_educativo
alonsocr23
 
5 3我的第二個媽媽
5 3我的第二個媽媽5 3我的第二個媽媽
5 3我的第二個媽媽
anniet_1214
 
Ventajas y desventajas de las redes sociales
Ventajas y desventajas de las redes socialesVentajas y desventajas de las redes sociales
Ventajas y desventajas de las redes sociales
Fanitha Sandoval
 
5 4我在學校的一天
5 4我在學校的一天5 4我在學校的一天
5 4我在學校的一天
anniet_1214
 
Apuntesdeorientacion2
Apuntesdeorientacion2Apuntesdeorientacion2
Apuntesdeorientacion2
alonsocr23
 
Mob03 what's new in windows phone
Mob03 what's new in windows phoneMob03 what's new in windows phone
Mob03 what's new in windows phone
DotNetCampus
 

Destacado (20)

Grupo 5
Grupo 5Grupo 5
Grupo 5
 
3 4小美樂歷險記
3 4小美樂歷險記3 4小美樂歷險記
3 4小美樂歷險記
 
Ayudas programa inmersión linguistica en ingles
Ayudas programa inmersión linguistica en inglesAyudas programa inmersión linguistica en ingles
Ayudas programa inmersión linguistica en ingles
 
A tutor
A tutorA tutor
A tutor
 
Cert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applicationsCert03 70-486 developing asp.net mvc 4 web applications
Cert03 70-486 developing asp.net mvc 4 web applications
 
Федеральная космическая программа 2013 2020 13.05.2014
Федеральная космическая программа 2013 2020 13.05.2014Федеральная космическая программа 2013 2020 13.05.2014
Федеральная космическая программа 2013 2020 13.05.2014
 
Presentación Herramientas web
Presentación Herramientas webPresentación Herramientas web
Presentación Herramientas web
 
Taller raid
Taller raidTaller raid
Taller raid
 
El deporte de_orientacion_en_el_ambito_educativo
El deporte de_orientacion_en_el_ambito_educativoEl deporte de_orientacion_en_el_ambito_educativo
El deporte de_orientacion_en_el_ambito_educativo
 
Agen tiket pesawat la gheira
Agen tiket pesawat la gheiraAgen tiket pesawat la gheira
Agen tiket pesawat la gheira
 
Los chats
Los chatsLos chats
Los chats
 
5 3我的第二個媽媽
5 3我的第二個媽媽5 3我的第二個媽媽
5 3我的第二個媽媽
 
Ventajas y desventajas de las redes sociales
Ventajas y desventajas de las redes socialesVentajas y desventajas de las redes sociales
Ventajas y desventajas de las redes sociales
 
5 4我在學校的一天
5 4我在學校的一天5 4我在學校的一天
5 4我在學校的一天
 
Fatturazione Elettronica PA - infografica
Fatturazione Elettronica PA - infograficaFatturazione Elettronica PA - infografica
Fatturazione Elettronica PA - infografica
 
GarmVIS (RTS 2014)
GarmVIS (RTS 2014)GarmVIS (RTS 2014)
GarmVIS (RTS 2014)
 
Revista pdff
Revista pdffRevista pdff
Revista pdff
 
Huelga01
Huelga01Huelga01
Huelga01
 
Apuntesdeorientacion2
Apuntesdeorientacion2Apuntesdeorientacion2
Apuntesdeorientacion2
 
Mob03 what's new in windows phone
Mob03 what's new in windows phoneMob03 what's new in windows phone
Mob03 what's new in windows phone
 

Similar a Redes - Enrutamiento por Directivas

Clase11
Clase11Clase11
Clase11
1 2d
 
Clase11
Clase11Clase11
Clase11
1 2d
 
Router
RouterRouter
Router
Oscar
 
Exploration Routing Chapter 3+Vs
Exploration Routing Chapter 3+VsExploration Routing Chapter 3+Vs
Exploration Routing Chapter 3+Vs
kevin
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
jhon caro
 
Chapter 1
Chapter 1Chapter 1
Chapter 1
himp
 
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es (1)
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es (1)Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es (1)
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es (1)
Noel E Jimenez
 

Similar a Redes - Enrutamiento por Directivas (20)

Enrutamiento
EnrutamientoEnrutamiento
Enrutamiento
 
Configuración de equipos de comunicación
Configuración de equipos de comunicaciónConfiguración de equipos de comunicación
Configuración de equipos de comunicación
 
Clase11
Clase11Clase11
Clase11
 
Clase11
Clase11Clase11
Clase11
 
Semana 6 enrutamiento
Semana 6 enrutamientoSemana 6 enrutamiento
Semana 6 enrutamiento
 
Semana 6 - Enrutamiento
Semana 6 - EnrutamientoSemana 6 - Enrutamiento
Semana 6 - Enrutamiento
 
Router
RouterRouter
Router
 
Exploration Routing Chapter 3+Vs
Exploration Routing Chapter 3+VsExploration Routing Chapter 3+Vs
Exploration Routing Chapter 3+Vs
 
Protocolos
ProtocolosProtocolos
Protocolos
 
Enrutamiento
EnrutamientoEnrutamiento
Enrutamiento
 
´Protocolo estado enlace
´Protocolo estado enlace´Protocolo estado enlace
´Protocolo estado enlace
 
Técnicas de Ruteo
Técnicas de RuteoTécnicas de Ruteo
Técnicas de Ruteo
 
10.Protocolos de enrutamiento
10.Protocolos de enrutamiento10.Protocolos de enrutamiento
10.Protocolos de enrutamiento
 
10.- Protocolos de enrutamiento
10.- Protocolos de enrutamiento10.- Protocolos de enrutamiento
10.- Protocolos de enrutamiento
 
Protocolos de enrutamiento
Protocolos de enrutamientoProtocolos de enrutamiento
Protocolos de enrutamiento
 
Router
RouterRouter
Router
 
Protocolos
ProtocolosProtocolos
Protocolos
 
Chapter 1
Chapter 1Chapter 1
Chapter 1
 
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es (1)
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es (1)Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es (1)
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es (1)
 
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_esCcna exploration routing_protocols_and_concepts_-_chapter_3_overview_es
Ccna exploration routing_protocols_and_concepts_-_chapter_3_overview_es
 

Redes - Enrutamiento por Directivas

  • 1. REDES DE COMPUTADORAS ENRUTAMIENTO BASADOS EN DIRECTIVAS 02/12/2013 INGENIERIA MECATRONICA
  • 2. Índice general INTRODUCCION - - - - - - - - - - - - - - - -2 1. MARCO TEORICO- - - - - - - - - - - - - - - -3 1.1. CAPITULO 6: ENRUTAMIENTO BASADOS EN DIRECTIVAS- - - - - -3 1.1.1. VISTA GENERAL DEL ENRUTAMIENTO BASADO EN DIRECTIVAS- -    3 LISTAS DE ACCESO EXTENDIDAS GRUPOS DE COINCIDENCIAS GRUPOS DE ACCIONES 1.1.2. CONSULTA DE RUTAS CON ENRUTAMIENTO BASADO EN DIRECTIVAS4 1.1.3. CONFIGURACION DEL ENRUTAMIENTO BASADO EN DIRECTIVAS- - - 5     CONFIGURACION DE UNA LISTA DE ACCESO EXTENDIDA CONFIGURACION DE UN GRUPO DE ACCIONES CONFIGURACION DE UNA DIRECTIVA PBR ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS 1.1.4. VISUALIZACION DE LA SALIDA DE ENRUTAMIENTO BASADO EN DIRECTIVAS19  VISUALIZACION DE UNA LISTA DE ACCESO EXTENDIDA  VISUALIZACION DE UN GRUPO DE COINCIDENCIAS  VISUALIZACION DE UN GRUPO DE ACCIONES  VISUALIZACION DE LA CONFIGURACION DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS  VISUALIZACION DE LA CONFIGURACION COMPLETA DE ENRUTAMIENTO BASADO EN DIRECTIVAS 1.1.5. EJEMPLO DE PBR AVANZADO- - - - - - - - - - - -24 1.1.6. PBR AVANZADO CON ALTA DISPONIBILIDAD Y POSIBILIDAD DE AMPLIACION29 2. CONCLUSIONES 3. ANEXOS 4. BIBLIOGRAFIA Redes de Computadoras - - - - - - - - - - - - - -30 - - - - - - - - - - - - - - 31 - - - - - - - - - - - - - - 31 Página 1
  • 3. INTRODUCCION Las redes de la actualidad tienen un impacto significativo en nuestras vidas, ya que cambian nuestra forma de vivir, trabajar y divertirnos. Las redes de computadoras (y en un contexto más amplio, Internet) permiten a las personas comunicarse, colaborar e interactuar de maneras totalmente novedosas. Utilizamos la red de distintas formas, entre ellas las aplicaciones web, la telefonía IP, la videoconferencia, los juegos interactivos, el comercio electrónico, la educación y más. En el centro de la red se encuentra el router. En pocas palabras, un router conecta una red con otra red. Por lo tanto, el router es responsable de la entrega de paquetes a través de diferentes redes. El destino de un paquete IP puede ser un servidor Web en otro país o un servidor de correo electrónico en la red de área local. Es responsabilidad de los routers entregar esos paquetes a su debido tiempo. La efectividad de las comunicaciones de internetwork depende, en gran medida, de la capacidad de los routers de reenviar paquetes de la manera más eficiente posible. En la actualidad, se están incorporando routers a los satélites en el espacio. Estos routers tendrán la capacidad de enrutar el tráfico IP entre los satélites del espacio de un modo muy similar al que se transportan los paquetes en la Tierra, de manera que se reduzcan las demoras y se ofrezca una mayor flexibilidad para el trabajo en red. ROUTER Redes de Computadoras Página 2
  • 4. 1. MARCO TEORICO 1.1. ENRUTAMIENTO BASADO EN DIRECTIVAS 1.1.1. VISTA GENERAL BASADO EN DIRECTIVAS El enrutamiento PBR proporciona un mecanismo de enrutamiento para las redes que se basan en el soporte de la capa de aplicación, como el antivirus (AV), deep inspection (DI) o antispam, filtrado de web o que requieren de una vía automática para aplicaciones específicas. Como primera parte del proceso de consulta de rutas, ScreenOS revisa si hay PBR y la revisión de PBR es transparente para todo el tráfico que no es PBR, cuando un paquete entra en el dispositivo de seguridad. PBR está habilitado en el nivel de interfaz y configurado dentro de un contexto de enrutador virtual; pero puede elegir la asociación de las directivas de PBR a una interfaz, una zona, un enrutador virtual (VR) o una combinación de interfaz, zona o VR. Se utilizan los siguientes tres módulos para crear una directiva de PBR:  Listas de acceso extendidas  Grupos de coincidencias  Grupos de acciones  LISTAS DE ACCESO EXTENDIDAS Las listas de acceso extendido enumeran los criterios de coincidencia que define para las directivas de PBR. Los criterios de coincidencia de PBR determinan la ruta de un flujo determinado de tráfico de datos. Los criterios de coincidencia incluyen los siguientes:       Dirección IP de origen Dirección IP destino Puerto de origen Puerto de destino Protocolo, como HTTP Prioridad de calidad de servicio (QoS) (opcional)  GRUPOS DE COINCIDENCIAS Los grupos de coincidencias proporcionan una manera de organizar (por grupo, nombre y prioridad) las listas de acceso extendidas. Los grupos de coincidencias asocian el número de ID de lista de acceso extendida con un nombre de grupo de coincidencias única y un número de ID de grupo de coincidencias. Este número de ID de grupo de coincidencias define el orden en el cual desea que el dispositivo de seguridad procese las listas de ACL extendidas. Puede asignar varias listas de acceso extendidas al mismo grupo de coincidencias. Redes de Computadoras Página 3
  • 5.  GRUPOS DE ACCIONES Los grupos de acciones especifican la ruta que desea que tome el paquete. Se especifica la “acción” de la ruta al definir la siguiente interfaz, el salto siguiente o ambos. Cada entrada de acción configurada se supervisa para revisar la accesibilidad como se muestra a continuación: Accesibilidad únicamente de la siguiente interfaz Si la siguiente interfaz está activa, la entrada de acción es posible. Cualquier interfaz, incluyendo todas las interfaces lógicas, tales como de túnel, agregadas o redundantes, que son visibles en el VR en el cual reside la directiva, son candidatas para la siguiente interfaz. Por ejemplo, si configura la entrada de acción con una interfaz NULL, la entrada de acción es alcanzable todo el tiempo. Con una interfaz NULL como la siguiente interfaz, la consulta de PBR siempre tiene éxito, de manera que ScreenOS detiene la consulta de rutas y descarta los paquetes. Accesibilidad únicamente de salto siguiente Si asocia el grupo de acciones únicamente con el salto siguiente, éste debe ser alcanzable a través de una entrada de ruta en la tabla de enrutamiento de las rutas de destino. El salto siguiente configurado es alcanzable en tanto exista una ruta válida en la tabla de enrutamiento de rutas de destino para resolver el salto siguiente . Accesibilidad de la siguiente interfaz y de salto siguiente Si el salto siguiente es alcanzable a través de la siguiente interfaz, la entrada de acción es alcanzable. Cualquier interfaz incluyendo todas las interfaces lógicas, tal como túnel, agregado o redundante, que son visibles en VR en el cual reside la directiva, son candidatas para ser la siguiente interfaz. ScreenOS descarta el paquete si el salto siguiente es alcanzable pero la siguiente interfaz es una interfaz NULL. Si configura la entrada de acción con una interfaz NULL como la siguiente interfaz y el salto siguiente como ruta estática, ScreenOS pasa los paquetes a la ruta estática. 1.1.2. CONSULTA DE RUTAS CON ENRUTAMIENTO BASADO EN DIRECTIVAS Cuando se habilita el enrutamiento basado en directivas en una interfaz, ScreenOS revisa todo el tráfico enviado a esa interfaz para ver si incluye enrutamiento basado en directivas. Cuando un paquete entra al dispositivo de seguridad, ScreenOS revisa la interfaz de entrada para una configuración de directiva de PBR. Si PBR está habilitado en esa interfaz de entrada, se aplican las siguientes acciones al paquete: Redes de Computadoras Página 4
  • 6. ScreenOS aplica la directiva de PBR asociada a la interfaz de entrada al paquete. Si no existe una directiva de PBR al nivel de la interfaz, entonces ScreenOS aplica la directiva de PBR unida a la zona asociada con la interfaz de entrada al paquete. Si no existe una directiva de PBR al nivel de zona, entonces ScreenOS aplica la directiva de PBR unida a VR asociado con la interfaz de entrada al paquete. ScreenOS encuentra el grupo de coincidencias y luego procesa las entradas de grupo de acciones. La primera entrada de acción alcanzable del grupo de acciones con una ruta válida es la que se utiliza para reenviar el paquete. Si no existen rutas alcanzables entre las entradas de acción, entonces se realiza una consulta de rutas regular. Si la entrada de acción es alcanzable, ScreenOS realiza una consulta de rutas con la interfaz preferida como la siguiente interfaz (si se especifica) y el salto siguiente como la dirección IP (si se especifica) en lugar de utilizar el IP de destino. Si una ruta coincide con la siguiente interfaz y salto siguiente indicados, ScreenOS reenvía el paquete. De lo contrario, ScreenOS utiliza la dirección IP de destino. 1.1.3. CONFIGURACIÓN DEL ENRUTAMIENTO BASADO EN DIRECTIVAS ENRUTAMIENTO Esta característica dota de la capacidad de instalar un enrutador software, así como plataforma abierta para el enrutamiento y las conexiones de red, pudiendo ofrecer servicios de enrutamiento en entornos de red de área local (LAN) y de red de área extensa (WAN), o incluso a través de Internet mediante el uso de conexiones VPN seguras. El componente de enrutamiento se utiliza para servicios de enrutamiento multiprotocolo LAN a LAN, LAN a WAN, VPN y NAT. Un enrutador es un dispositivo que administra el flujo de datos entre segmentos de red o subredes, dirigiendo los paquetes entrantes y salientes a partir de la información que contiene sobre el estado de sus propios adaptadores de red y una lista de posibles orígenes y destinos del tráfico de red. El tráfico de red soportado por el enrutador y las necesidades de enrutamiento, determinarán el número y los tipos de dispositivos de hardware y aplicaciones necesarios, siendo posible utilizar un enrutador de hardware dedicado, un enrutador basado en software o una combinación de ambos. Normalmente, los enrutadores de hardware dedicados controlan mejor las demandas de enrutamiento más complejas, mientras que los enrutadores basados en software, controlan cargas de enrutamiento más ligeras. En redes de comunicaciones TCP/IP, enrutamiento basado en políticas (del inglés Policy-based routing o PBR) es una técnica para implementar decisiones de enrutamiento basadas en políticas definidas por el administrador de la red.El comportamiento habitual de un enrutador o router cuando recibe un paquete es la de reenviarlo en función de la dirección IP destino incluida en el paquete, que utiliza para comparar con su tabla de enrutamiento. Sin embargo, en algunos casos puede ser interesante reenviar el tráfico según otroscriterios, como la dirección origen del paquete, el tipo de tráfico o cualquier otra información contenida en el paquete. Redes de Computadoras Página 5
  • 7. La Figura 1 muestra una manera en que PBR diferencia las rutas de tráfico de servicio enviando el tráfico de HTTP a lo largo de una ruta y el tráfico de HTTPS a lo largo de otra. La Figura 20 muestra dos nodos, uno en 172.18.1.10 y otro en 172.18.2.10. Cuando el dispositivo de seguridad recibe el tráfico de HTTP, ScreenOS enruta el tráfico a través del enrutador 172.24.76.1; y cuando el dispositivo de seguridad recibe el tráfico de HTTPS, ScreenOS enruta el tráfico a través del enrutador 172.24.76.2. Lo contrario sucede en el nodo 172.18.2.10. El tráfico de HTTP del nodo 172.18.2.10 fluye al enrutador 172.24.76.2 y el tráfico de HTTPS fluye al enrutador 172.24.76.1. Figura 1: Enrutamiento del tráfico de HTTP y HTTPS con enrutamiento basado en Directivas  CONFIGURACIÓN DE UNA LISTA DE ACCESO EXTENDIDA Las listas de acceso son conjuntos de reglas que indican al router como seleccionar paquetes. Una vez seleccionados los paquetes pueden ser tratados de diversas formas. Uno de los usos más extendidos de las listas de acceso es el de controlar el flujo de tráfico entrante y saliente de un router. Las reglas que componen las listas de acceso tienen tres partes: un número que identifica la lista, una instrucción deny o permit y una condición access-list número identificador [permit|deny] condición. El número utilizado para identificar una lista concreta debe ser seleccionado de un rango numérico acorde con el uso concreto de la lista. Redes de Computadoras Página 6
  • 8. Tabla n° 1 Se realizará una simulación de red en el programa Packet Tracer. El protocolo de enrutamiento empleado será RIP Versión 2, se debe probar la conectividad de la red y después configurar listas de acceso en los routers para evitar que el host de dirección ip 172.30.0.2/16 acceda a la subred 3. Ningún computador de la subred 2 debe tener acceso a la subred 1. Tabla n°2 Redes de Computadoras Página 7
  • 9. CONFIGURACIONES A continuación se muestra la configuración en cada uno de los routers. Redes de Computadoras Página 8
  • 10. RESULTADOS El host 172.30.0.2 no puede comunicarse a la subred 3 .Se realiza una prueba de ping desde el host en cuestión. Se observa que el mismo no obtiene respuesta desde la subred 3. Se realiza la misma prueba con otro computador de la subred 1 y se comprueba que éste si obtiene respuesta de la subred 2. La subred 2 no tiene acceso a la Subred 1. Se realiza un ping a un host de la subred 1, el ping falla. Redes de Computadoras Página 9
  • 11. Se realiza otro ping hacia la subred 3, el ping es exitoso. PRUEBA DE PROTOCOLO DE ENRUTAMIENTO El protocolo de enrutamiento permite el cálculo dinámico de las rutas en caso que falle un enlace, esto provoca que si la lista de acceso se configuró sobre una sola interfaz del router y debido a cambios de topologías, el tráfico deja de atravesar ésta interfaz; la lista de acceso no cumple más su objetivo. Se realizó ésta prueba en el simulador. Se desconecta el enlace entre el Router 1 y el Router 2, unidos mediante las interfaces en las que se configuraron las listas de acceso. La tabla de rutas se actualiza dinámicamente en los routers. Redes de Computadoras Página 10
  • 12. Ya que la lista de acceso se aplicó sobre la interfaz conectada al switch un cambio en la topología no la afectaría sin antes afectar toda la conectividad de la subred 1.  Las “Access Lists” se utilizan para implementar seguridad en los enrutadores Permiten alto grado de control en la red Filtran el flujo de paquetes entrando o saliendo de las interfaces del enrutador Restringen el uso de la red a ciertos usuarios o equipos Prohíben o permiten tipos de tráfico  Reglas de Aplicación de las Listas de Acceso Se analizan en orden secuencial: línea 1, línea 2, etc. La información de un paquete se compara con la lista hasta que una coincidencia ocurre. Luego de esto NO se sigue comparando. Existe una línea de prohibición tácita al final de cada lista. Si un paquete no coincide con ninguna regla, al final se descarta.  Utilización de las listas de acceso  Listas de Acceso Estándar (1 - 99) Especificaciones de direcciones más simples. Generalmente permiten o prohíben el datagrama IP completo.  Listas de Acceso Extendidas (100 - 199) Forma más compleja de especificar direcciones Generalmente permiten o prohíben protocolos (puertos) Específicos Redes de Computadoras Página 11
  • 13.  Sintaxis de las Listas de Acceso Sintaxis de las listas estándar Access-list access-list-number {permit | deny} source {source-mask} ip access-group access-list -number {in | out} Sintaxis de las listas extendidas Access-list access-list-number {permit | deny} protocol source {source-mask} destination {destination-mask} ip access-group access-list -number {in | out}  Dónde Aplicar las Listas de Acceso Aplique las listas de acceso lo más cerca posible de donde se origina el tráfico  Ejemplo de Lista de Acceso Hacer coincidir las subredes 192.168.0.0 a 192.168.64.0 ip access-list 99 192.168.0.0 0.0.63.255 Los bits de la meta-máscara indican cómo interpretar los bits de la dirección 0=coincide „1=ignora Coincidir con cualquier dirección IP „0.0.0.0 255.255.255.255 „O abrevie la expresión utilizando la palabra any Coincidir con un nodo en específico „192.168.1.5 0.0.0.0 „O abrevie la expresión utilizando la palabra Host Redes de Computadoras Página 12
  • 14.  Permitir acceso Telnet a mi red solamente Access-list 1 permits 192.168.32.192 0.0.0.15 Access-list 1 deny any Line vty 0 Access-class 1 in  Ejemplo de lista de acceso estándar  Redes de Computadoras Página 13
  • 15.  Ejemplo de lista de acceso extendida Prohibir la entrada de tráfico SNMP Redes de Computadoras Página 14
  • 16.  CONFIGURACIÓN DE UN GRUPO DE COINCIDENCIAS CONFIGURACIÓN DE DOS ENRUTADORES VIRTUALES Se pueden configurar varios enrutadores virtuales (VRs) en un dispositivo NetScreen manteniendo una tabla de enrutamiento separada para cada VR. De forma predeterminada, todas las zonas de seguridad predefinidas y definidas por el usuario están asociadas al trust-vr. Esto significa que todas las interfaces asociadas a esas zonas de seguridad también pertenecen al trustvr. Esta sección analiza cómo asociar una zona de seguridad (y sus interfaces) al VR untrust-vr. Se puede asociar una zona de seguridad a un sólo VR. Se pueden asociar varias zonas de seguridad a un sólo VR cuando no hay superposición de direcciones entre zonas. Esto es, todas las interfaces de las zonas deben estar en modo de ruta. Una vez que una zona está asociada a un VR, todas las interfaces de la zona pertenecen al VR. Se puede cambiar el vínculo de una zona de seguridad de un VR a otro, pero primero hay que quitar todas las interfaces de la zona. A continuación se enumeran los pasos básicos para asociar una zona de seguridad al VR untrustvr: 1. Eliminar todas las interfaces de la zona que se quiera asociar al untrust-vr. No se puede modificar el vínculo de zona a VR si hay una interfaz asignada a la zona. Si se ha asignado una dirección IP a una interfaz, es necesario eliminar la asignación de dirección antes de quitar la interfaz de la zona. 2. Asignar la zona al VR untrust-vr. 3. Asignar de nuevo las interfaces a la zona. Ejemplo: Asociación de una zona al untrust-vr En el siguiente ejemplo, la zona de seguridad untrust está asociada de forma predeterminada al trust-vr y la interfaz ethernet3 está asociada a la zona de seguridad untrust. (No hay otras interfaces asociadas a la zona de seguridad untrust). Primero se debe definir la dirección IP y la máscara de red de la interfaz ethernet3 con un valor de 0.0.0.0, después cambiar los enlaces para que la zona de seguridad untrust se asocie al untrust-vr. WebUI 1. Desasociar la interfaz de la zona untrust Network > Interfaces (ethernet3) >Edit: Introduzca los siguientes datos y haga clic en OK: Zone Name: Null IP Address/Netmask: 0.0.0.0/0 Redes de Computadoras Página 15
  • 17. 2. Asociar la zona untrust al untrust-vr Network > Zones (untrust) > Edit: Seleccione untrust-vr en la lista desplegable Virtual Router Name y haga clic en OK. 3. Asociar la interfaz a la zona untrust Network > Interfaces (ethernet3) > Edit: Seleccione Untrust en la lista desplegable Zone Name y haga clic en OK. CLI 1. Desasociar la interfaz de la zona untrust set interface ethernet3 0.0.0.0/0 unset interface ethernet3 zone. 2. Asociar la zona untrust al untrust-vrset zoneuntrustvruntrust-vr. 2. Asociar la interfaz a la zona untrust set interface eth3 zonaun trustsave. En las siguientes imágenes, el resultado del comando get zone de la izquierda muestra la interfaz, la zona y los enlaces predeterminados del enrutador virtual (VR). En los enlaces predeterminados, la zona untrust está asociada al trust-vr. El resultado del comando get zone de la derecha muestra la interfaz, zona y enlaces del VR después de haber reconfigurado los enlaces, la zona untrust está ahora asociada al untrust-vr. Redes de Computadoras Página 16
  • 18.  CONFIGURACIÓN DE UNA DIRECTIVA DE PBR  Necesidad de definir políticas de enrutamiento En las redes IP actuales, las grandes organizaciones requieren la libertad para implementar enrutamiento en función de sus propias políticas, definidas de una manera que va más allá de los aspectos controlados por los protocolos de enrutamiento. Cuando determinado tráfico tiene que ser enviado por unos caminos específicos debido a cuestiones administrativas, el enrutamiento basado en políticas proporciona una solución. Los administradores de la red pueden crear políticas que provoquen selectivamente que determinados paquetes utilicen diferentes caminos. El enrutamiento basado en políticas también proporciona un mecanismo para marcar paquetes y así diferenciar distintos tipos de tráfico, pudiendo priorizar combinándolo con técnicas de gestión de colas (queuing).  Los beneficios de implementar enrutamiento basado en políticas Dentro de los beneficios que se pueden obtener de implementar PBR podemos destacar: Elección de proveedor de tránsito basado en direcciones origen: Los proveedores de servicio de Internet y otras organizaciones pueden utilizar PBR para encaminar el tráfico hacia diferentes conexiones de Internet según dónde se haya originado dicho tráfico. Calidad de Servicio (QoS): Se puede proporcionar QoS modificando los valores TOS o IP Precedente de una manera diferenciada en los router frontera. Ahorro de costes: Se pueden reducir los costes derivados de las comunicaciones diferenciando los tipos de tráfico que utilizan cada una de los circuitos, pudiendo combinar con circuitos permanentes o conmutados de diferentes anchos de banda y costes. Balanceo de carga: Además de las posibilidades de balanceo de carga sobre caminos de igual coste proporcionado por algunos protocolos de encaminamiento dinámico, es posible balancear entre diferentes caminos en función de las características del tráfico.1  Aplicación del enrutamiento basado en políticas Esta técnica se aplica sobre los paquetes entrantes. Todos los paquetes recibidos por un interfaz con PBR habilitado son considerados para encaminarlos en función de las políticas configuradas. El router hace pasar a los paquetes por unos filtros avanzados denominados mapas de ruta, y son reenviados al siguiente salto apropiado. Redes de Computadoras Página 17
  • 19.  ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS Puede asociar una directiva de PBR a una interfaz, una zona o un enrutador virtual dentro de un contexto de enrutador virtual. ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UNA INTERFAZ Puede asociar la directiva de PBR directiva-re direccionar a la interfaz de ingreso. En este ejemplo, la interfaz es la interfaz trust. ENRUTADORES VIRTUALES DE LOS DISPOSITIVOS NETSCREEN ScreenOS puede dividir su componente de enrutamiento en dos o más enrutadores virtuales. Los enrutadores virtuales admiten protocolos de enrutamiento estático y dinámico, y protocolos multicast que se pueden activar de forma simultánea en un solo enrutador virtual. Los dispositivos Nets creen incorporan dos enrutadores virtuales predefinidos: • Trust-vr, que de forma predeterminada contiene todas las zonas de seguridad predefinidas y todas las zonas definidas por el usuario. • Untrust-vr, que de forma predeterminada no contiene ninguna zona de seguridad. Algunos dispositivos Nets creen permiten crear otros enrutadores virtuales personalizados. Dividiendo la información de enrutamiento en dos (o más) enrutadores virtuales, se puede controlar qué información de un determinado dominio de enrutamiento será visible desde otros dominios de enrutamiento. Por ejemplo, se puede mantener la información de enrutamiento de todas las zonas de seguridad de una red corporativa en el enrutador virtual predefinido trust-vr, y la información de enrutamiento de todas las zonas fuera de la red corporativa en el otro enrutador virtual predefinido untrust-vr. Gracias a que la in formación de la tabla de enrutamiento de un enrutador virtual no es visible desde el otro, la información de enrutamiento de la red interna se puede mantener aislada de fuentes no fiables situadas fuera de la empresa. Esto también significa que el tráfico procedente de zonas de un enrutador virtual no se reenvía automáticamente a las zonas de otro enrutador virtual aunque existan directivas que permitan el tráfico. Si desea que dos enrutadores virtuales puedan intercambiar tráfico de datos, deberá exportar las rutas entre esos VR o configurar una ruta estática en uno de ellos que defina al otro como siguiente salto (“nexthop”). Redes de Computadoras Página 18
  • 20. ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UNA ZONA Puede asociar la directiva de PBR directiva-redireccionara una zona. En este ejemplo, la zona es la zona Trust. WebUI Network > Routing > PBR > Policy Binding CLI setzone trust pbr directiva-re direccionar ENLACE DE UNA DIRECTIVA DE ENRUTAMIENTO BASADO EN DIRECTIVAS A UN ENRUTADOR VIRTUAL Puede asociar la directiva de PBR directiva-re direccionar a un enrutador virtual. En este ejemplo, el enrutador virtual es trust-vr. WebUI Network > Routing > PBR > Policy Binding CLI set vrouter trust-vr pbr directiva-re direccionar Visualización de la salida de enrutamiento basado en directivas Puede ver la información relacionada con el enrutamiento basado en directivas con WebUI o CLI. 1.1.4. VISUALIZACIÓN DE LA SALIDA DE ENRUTAMIENTO BASADO EN DIRECTIVAS Puede ver la información relacionada con el enrutamiento basado en directivas con WebUI o CLI.  Visualización de una lista de acceso extendida Puede ver la lista completa de las listas de acceso extendidas desde WebUI o CLI. En CLI puede especificar ver una lista de acceso extendida determinada. En el segundo ejemplo de CLI, el ejemplo muestra que existen dos listas de acceso extendidas en trust-vr, pero el usuario indicó la lista de acceso extendido 2. Según se especificó, ScreenOS regresó dos entradas de lista de acceso, 10 y 20, únicamente para la segunda lista de acceso extendida. WebUI Network > Routing > PBR > Access List Ext CLI 1 get vrouter trust-vr pbr access-list configuration Redes de Computadoras Página 19
  • 21. Ejemplo: set access-list extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 1 src-port 200-300 entry 2 set access-list extended 2 dest-port 500-600 protocol udp entry 10 set access-list extended 2 dest-ip 50.50.50.0/24 protocol udp entry 20 CLI 2 get vrouter trust-vr pbr access-list 2 Ejemplo: PBR access-list: 2 in vr: trust-vr, number of entries: 2 -----------------------------------------------PBR access-list entry: 10 -----------------------dest port range 500-600 protocols: udp PBR access-list entry: 20 -----------------------destip-address 50.50.50.0/24 protocols: udp  Visualización de un grupo de coincidencias Puede ver los detalles de grupo de coincidencias desde WebUI o CLI. WebUI Network > Routing > PBR > Match Group CLI get vrouter trust-vr pbr match-group config Ejemplo: set match-group name pbr1_mg set match-group pbr1_mg ext-acl 1 match-entry 1 set match-group name pbr1_mg2 set match-group pbr1_mg2 ext-acl 2 match-entry 10 Redes de Computadoras Página 20
  • 22.  Visualización de un grupo de acciones Puede ver los detalles de grupo de acciones desde WebUI o CLI. WebUI Network > Routing > PBR > Action Group CLI 1 get vrouter trust-vr pbr action-group configuration Ejemplo: set action-group name pbr1_ag set action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2 action-entry 1 set action-group name pbr1_ag2 set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10 set action-group pbr1_ag2 next-interface ethernet3 action-entry 20 set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60 action-entry 30 CLI 2 get vrouter trust-vr pbr match-group name pbr1_ag2 Ejemplo: device-> get vrtrpbr action-group name pbr1_ag2 PBR action-group: pbr1_ag2 in vr: trust-vr number of entries: 3 -----------------------------------------------PBR action-group entry: 10 next-interface: N/A, next-hop: 30.30.30.30 -----------------------PBR action-group entry: 20 next-interface: ethernet3, next-hop: 0.0.0.0 -----------------------PBR action-group entry: 30 next-interface: ethernet3, next-hop: 60.60.60.60 Redes de Computadoras Página 21
  • 23.  Visualización de la configuración de una directiva de enrutamiento basado en directivas Puede ver la configuración de directivas de enrutamiento basado en directivas desde WebUI o CLI. En la CLI puede escoger ver la configuración o puede introducir el nombre de directiva para ver una configuración de directiva individual. WebUI Network > Routing > PBR > Policy CLI get vrouter trust-vr pbr policy config Ejemplo: set pbr policy name pbr1_policy set pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50 set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 25 CLI get vrouter trust-vr pbr policy name pbr1_policy Ejemplo: PBR policy: pbr1_policy in vr: trust-vr number of entries: 2 -----------------------------------------------PBR policy entry: 50 match-group: pbr1_mg2, action-group: pbr1_ag2 -----------------------PBR policy entry: 256 match-group: pbr1_mg, action-group: pbr1_ag Redes de Computadoras Página 22
  • 24.  Visualización de la configuración completa de enrutamiento basado en directivas Puede ver la configuración de enrutamiento basado en directivas desde WebUI o CLI. WebUI Network > Routing > PBR > Access List Ext Network > Routing > PBR > Match Group Network > Routing > PBR > Action Group Network > Routing > PBR > Policy CLI get vrouter trust-vr pbr configuration Ejemplo: set access-list extended 1 src-ip 172.16.10.10/32 dest-ip 192.169.10.10/32 dest-port 80-80 protocol tcp entry 1 set access-list extended 1 src-port 200-300 entry 2 set access-list extended 2 dest-port 500-600 protocol udp entry 10 set access-list extended 2 dest-ip 50.50.50.0/24 protocol udp entry 20 set match-group name pbr1_mg set match-group pbr1_mg ext-acl 1 match-entry 1 set match-group name pbr1_mg2 set match-group pbr1_mg2 ext-acl 2 match-entry 10 set action-group name pbr1_ag set action-group pbr1_ag next-interface ethernet2 next-hop 10.10.10.2 action-entry 1 set action-group name pbr1_ag2 set action-group pbr1_ag2 next-hop 30.30.30.30 action-entry 10 set action-group pbr1_ag2 next-interface ethernet3 action-entry 20 set action-group pbr1_ag2 next-interface ethernet3 next-hop 60.60.60.60 action-entry 30 set pbr policy name pbr1_policy set pbr policy pbr1_policy match-group pbr1_mg2 action-group pbr1_ag2 50 set pbr policy pbr1_policy match-group pbr1_mg action-group pbr1_ag 256 Redes de Computadoras Página 23
  • 25. 1.1.5. EJEMPLO DE PBR AVANZADO PBR (Enrutamiento basado en directivas) le permite definir y descargar únicamente los tipos de tráfico que ScreenOS necesita procesar. Durante el procesamiento de tipos específicos de tráfico, como el tráfico que necesita análisis antivirus (AV), la red no se satura porque no analiza los tipos de paquetes que no requieren análisis en busca de virus. NOTA: También se podría configurar PBR para enviar tráfico específico para antispam, deep inspection (DI), prevención y detección de intrusión (IDP), filtrado de web o caché. Puede combinar varios tipos de dispositivos de seguridad de Juniper Networks para que trabajen conjuntamente y proporcionen los servicios al mismo tiempo que mantienen una buena velocidad de procesamiento en la red y generan una carga de análisis de AV aceptable. La Figura muestra un dispositivo de seguridad que ejecuta PBR para dividir el tráfico de AV de todo el otro tráfico (derecha). Por ejemplo, si desea utilizar PBR para descargar únicamente el tráfico de HTTP, SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un dispositivo de seguridad con cuatro interfaces 10/100 disponibles para proporcionar enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la aplicación (AV). Por ejemplo, si desea utilizar PBR para descargar únicamente el tráfico de HTTP, SMTP y POP3 para el procesamiento de AV, por lo menos necesita utilizar un dispositivo de seguridad con cuatro interfaces 10/100 disponibles para proporcionar enrutamiento y un dispositivo de seguridad para proporcionar el soporte de la aplicación (AV). Redes de Computadoras Página 24
  • 26. NOTA:Si únicamente tiene tres interfaces 10/100 disponibles, puede colocar un conmutador entre los dos dispositivos de seguridad y utilizar el etiquetado VLAN (802.1q) para configurar las mismas rutas para el tráfico. En el siguiente ejemplo, realice los siguientes pasos para configurar el dispositivo de seguridad que proporciona las rutas de enrutamiento: 1. Configure el enrutamiento. 2. Configure PBR. 3. Enlace las directivas de PBR a las interfaces apropiadas. Las siguientes secciones explican cada uno de estos pasos. Los ejemplos muestran únicamente los comandos CLI y la salida. Para obtener más información sobre la configuración de AV, consulte el Volumen 4: Detección ataques y mecanismos de defensa. Enrutamiento En este ejemplo, necesita crear dos zonas personalizadas. Para configurar las zonas, introduzca los siguientes comandos: Con la información que se muestra en la Tabla 15, configurará cuatro interfaces 10/100 Ethernet. Configuración de interfaz para enrutamiento Para configurar las interfaces, introduzca los siguientes comandos: Después de configurar las zonas, las interfaces y las rutas, necesita realizar las siguientes dos tareas: Redes de Computadoras Página 25
  • 27. 1. Configure una ruta estática de untrust-vr a trust-vr. Asigne una dirección IP de la puerta de enlace de 10.251.10.0/24 y un valor de preferencia de 20 a la entrada: 2. Configure la interfaz NULL con un valor de preferencia mayor que cero (0) de la interfaz Trust a la interfaz Untrust: Puede verificar los cambios con el comando get route: Routing Table: IPv4 Dest-Routes for <untrust-vr> (6 entries) Ahora está listo para configurar PBR. Redes de Computadoras Página 26
  • 28.  Elementos PBR Después de configurar las interfaces y rutas, puede configurar PBR. Para que PBR funcione correctamente, debe configurar los siguientes elementos para trust-vr: - Lista de acceso extendida Grupo de coincidencias Grupo de acciones Directiva de PBR  Listas de acceso extendidas Para este ejemplo, determinará que desea enviar el tráfico de HTTP (puerto 80), SMTP (puerto 110) y POP3 (puerto 25) para el procesamiento de AV. Para enviar estos tres tipos de paquetes a un dispositivo de seguridad, configure una lista de acceso extendido en trust-vr. NOTA: No necesita configurar una lista de acceso extendida para el tráfico de regreso ya que el dispositivo de seguridad realiza una consulta de sesión antes que una consulta de rutas y luego aplica una directiva de PBR según sea necesario. El tráfico de retorno tiene una sesión existente. Cuando cualquier cliente en la subred 10.251.10.0/24 inicia el tráfico que utiliza TCP al puerto 80, 110 ó 25, desea que ScreenOS compare ese tráfico con los criterios de lista de acceso extendida y realice la acción asociada con la lista de acceso. La acción obliga a ScreenOS a enrutar el tráfico como usted indica, y no como otro tráfico. Cada lista de acceso necesita tres entradas, una para cada tipo de tráfico de TCP al que se dirige. Para configurar la lista de acceso extendida para trust-vr, introduzca los siguientes comandos:  Grupos de coincidencias Un grupo de coincidencias asocia una lista de acceso extendida con un nombre significativo al que se hace referencia en la directiva de PBR. Primero introduzca un contexto de enrutador virtual, luego cree un grupo de coincidencias y finalmente agregue una entrada que asocia el nombre del grupo de coincidencias recientemente creado con una lista de acceso y el número de entrada. Redes de Computadoras Página 27
  • 29. Para crear grupos de coincidencias en trust-vr, introduzca los siguientes comandos:  Grupos de acciones A continuación, creará un grupo de acciones, el cual indica a donde enviar el paquete. Para este ejemplo, creará un grupo de acciones para trust-vr con la acción establecida para enviar el tráfico al salto siguiente. PRECAUCIÓN: Si la acción es enviar el tráfico a la siguiente interfaz, el cambio de estado de enlace activará/desactivará la directiva de enrutamiento. Con el salto siguiente, la acción se resuelve con el protocolo de resolución de dirección (ARP). Para trust-vr, reenviará el tráfico con la instrucción de siguiente salto a través de 192.168.100.254 por medio de los siguientes comandos:  Directivas de PBR A continuación, definirá la directiva de PBR, que requiere de los siguientes elementos: - Nombre de la directiva de PBR Nombre del grupo de coincidencias Nombre del grupo de acciones Para configurar la directiva de PBR, introduzca los siguientes comandos: Redes de Computadoras Página 28
  • 30.  Asociación de interfaces Finalmente, asociará la directiva de PBR a la interfaz de ingreso, e1. Para asociar la directiva de PBR a su interfaz de ingreso, introduzca los siguientes comandos: 1.1.6. PBR AVANZADO CON ALTA DISPONIBILIDAD Y POSIBILIDAD DE AMPLIACIÓN Con el ejemplo anterior de PBR como base, puede mejorar la flexibilidad de su red con alta disponibilidad (HA) o posibilidad de ampliación.  Solución de resistencia en PBR Una solución sólida de PBR puede incluir las siguientes configuraciones de dispositivo: - Dos dispositivos de seguridad que proporcionan red Otros dos dispositivos de seguridad que proporcionan análisis de AV Cada par de dispositivos ejecuta el protocolo de redundancia de NetScreen (NSRP) en una configuración activa/pasiva para proporcionar protección de cambio en caso de fallo. Para los dos dispositivos de seguridad que ejecutan el enrutamiento, un dispositivo se encarga de la función de enrutamiento si ocurre un fallo del hardware. En caso del par que proporciona el análisis de AV, si ocurre un fallo en uno de los dispositivos, el otro dispositivo se encarga de la función de análisis. NOTA: Para obtener más información, consulte el Volumen 11: Alta Disponibilidad.  Solución con posibilidad de ampliación en PBR Las soluciones PBR se amplían bien. Si necesita más capacidad, puede agregar más dispositivos de seguridad. Al dividir la subred /24 en dos subredes /25, puede configurar una lista de acceso extendida para la subred inferior /25 y otra lista de acceso extendido para la subred superior /25, luego agregue dos dispositivos de seguridad para proporcionar servicios de análisis en DMZ. También puede implementar el equilibrio de carga si crea una configuración de NSRP activa/activa. Un dispositivo puede procesar el tráfico de la subred inferior /25 y el otro dispositivo puede procesar el tráfico de la subred superior /25. Cada dispositivo respalda al otro. Redes de Computadoras Página 29
  • 31. 2. CONCLUSION El objetivo principal de un router es conectar múltiples redes y reenviar paquetes desde una red a la siguiente. Esto significa que un router normalmente tiene múltiples interfaces. Cada interfaz es un miembro o host en una red IP diferente. El router tiene una tabla de enrutamiento, que es una lista de redes conocidas por el router. La tabla de enrutamiento incluye direcciones de red para sus propias interfaces que son las redes conectadas directamente, además de direcciones de red para redes remotas. Una red remota es una red a la que se puede llegar únicamente reenviando el paquete a otro router. Las redes remotas se incorporan a la tabla de enrutamiento de dos maneras: si el administrador de red configura las rutas estáticas en forma manual o al implementar un protocolo de enrutamiento dinámico. Las rutas estáticas no tienen tanta sobrecarga como los protocolos de enrutamiento dinámico; sin embargo, las rutas estáticas requieren más mantenimiento si la topología es inestable o está en constante cambio. Los protocolos de enrutamiento dinámico se ajustan automáticamente a los cambios sin intervención alguna del administrador de la red. Los protocolos de enrutamiento dinámico requieren más procesamiento de la CPU y además usan una cierta cantidad de capacidad de enlace para mensajes y actualizaciones de enrutamiento. En muchos casos, una tabla de enrutamiento tendrá tanto rutas estáticas como dinámicas. Los routers toman su decisión principal de reenvío en la Capa 3, la capa de Red. Sin embargo, las interfaces del router participan en las Capas 1, 2 y 3. Los paquetes IP de Capa 3 se encapsulan en una trama de enlace de datos de Capa 2 y se codifican en bits en la Capa 1. Las interfaces del router participan en procesos de Capa 2 asociados con la encapsulación. Por ejemplo, una interfaz Ethernet en un router participa en el proceso ARP como otros hosts en esa LAN. Redes de Computadoras Página 30
  • 32. 3. ANEXOS http://es.wikipedia.org/wiki/Enrutamiento_basado_en_pol%C3%ADticas http://www.monografias.com/trabajos-pdf2/introduccion-protocolos-enrutamiento/introduccionprotocolos-enrutamiento.shtml#ixzz2mRndWtpt http://technet.microsoft.com/es-es/library/gg398512.aspx http://enredandoconredes.com/2012/09/ http://www.adminso.es/index.php/3._Ejemplo_sencillo_de_iptables 4. BIBLIOGRAFIA Policy routing Cisco Press article http://antonio_gallego.tripod.com/apuntes/listas.htm http://www.ite.educacion.es/formacion/materiales/85/cd/windows/pdf/M2Servicios_basicos/M21_enrutamiento.pdf http://www.systemconsultores.com/data/carpetas/2/CCNA2_Capitulo%201%20Introducci on%20al%20enrutamiento%20y%20reenvio%20de%20paquetes.pdf https://www.google.com.pe/url?sa=t&rct=j&q=&esrc=s&source=web&cd=12&cad=rja&sqi=2&ved=0CGU QFjAL&url=http%3A%2F%2Fwww.eslared.org.ve%2Fwalcs%2Fwalc2004%2Fapc-aa%2Farchivosaa%2F1e60354f4717edb9fb793dbc5219499d%2FEnrutamiento_IP_E5F6A.doc&ei=ZFGfUvGqBfLNsQTk04K wBQ&usg=AFQjCNGlx57VvBiJoPQqueGYuJOUL6LeUg&bvm=bv.57155469,d.eW0 Redes de Computadoras Página 31