Your SlideShare is downloading. ×
Protocolos de enrutamiento: abrir la ruta mas corta
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Protocolos de enrutamiento: abrir la ruta mas corta

619

Published on

Protocolos de enrutamiento: abrir la ruta mas corta

Protocolos de enrutamiento: abrir la ruta mas corta

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
619
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
24
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. UNIVERSIDAD NACIONAL DE TRUJILLO FACULTAD DE INGENIERIA MECATRONICA MONOGRAFÍA ABRIR PRIMERO LA RUTA MAS CORTA AUTORES: JULIO HERRERA GERMAN JORGE GONGORA BAYONA JONATHAN CATALAN AVALOS RICHARD JIMENEZ LOPEZ TRUJILLO – PERU 2013
  • 2. ÍNDICE Dedicatoria: .............................................................................................................................. 3 NTRODUCCIÓN ......................................................................................................................... 5 MARCO TEORICO ...................................................................................................................... 5 ABRIR PRIMERO LA RUTA MAS CORTA .................................................................................. 6 Áreas................................................................................................................................. 6 Clasificación de enrutadores.............................................................................................. 7 Protocolo de saludo .......................................................................................................... 8 Tipos de redes ................................................................................................................... 8 Notificaciones de estado de conexiones ............................................................................ 9 Configuración básica de OSPF .......................................................................................... 10 Creación y eliminación de una instancia de enrutamiento OSPF ...................................... 11 Creación y eliminación de un área OSPF .......................................................................... 12 Asignación de interfaces a un área OSPF ......................................................................... 14 Habilitación de OSPF en interfaces .................................................................................. 15 Verificación de la configuración ....................................................................................... 16 Redistribución de rutas en protocolos de enrutamiento .................................................. 16 Resumen de rutas redistribuidas ..................................................................................... 17 Parámetros globales de OSPF .......................................................................................... 17 Notificación de la ruta predeterminada ........................................................................... 19 Conexiones virtuales ....................................................................................................... 19 Ajuste de parámetros OSPF de interfaz ........................................................................... 22 Autenticación de vecinos................................................................................................. 23 Configuración de una lista de vecinos de OSPF ................................................................ 26 Rechazo de rutas predeterminadas ................................................................................. 27 Protección contra inundaciones ...................................................................................... 27 Interfaz de túnel punto a multipunto............................................................................... 30 Establecer el tipo de conexión OSPF ................................................................................ 30 Inhabilitación de la restricción Route-Deny ..................................................................... 30 Creación de una red punto a multipunto ......................................................................... 31 CONCLUSIONES....................................................................................................................... 33 ANEXOS .................................................................................................................................. 35  Apéndice A: ................................................................................................................. 36  Apéndice B: ................................................................................................................. 37  Apéndice C: ................................................................................................................. 38  Apéndice D: ................................................................................................................. 40 2
  • 3. BIBLIOGRAFIA ......................................................................................................................... 41 Dedicatoria: 3
  • 4. Dedicamos este trabajo en primer lugar a nuestros padres quienes nos apoyan en todo momento, por sus consejos, sus valores inculcados, por la motivación constante que nos permiten ser unas personas de bien. A mi padre por los ejemplos de perseverancia y de seguir mis sueños para ser una persona de bien en el futuro. A mis maestros por su gran apoyo y motivación para la culminación de nuestros estudios profesionales, por transmitirnos sus conocimientos obtenidos y habernos llevado paso a paso en el camino de aprendizaje. 4
  • 5. NTRODUCCIÓN Con el aumento de las diversas tecnologías, y las grandes expectativas que estas producen en los usuarios o consumidores, se debe siempre idear una forma más rápida y efectiva para brindar un mejor servicio. Es por este motivo que en la distribución de información en una red se desarrolló una forma de lograr el rápido transporte de paquetes y la redistribución a través de nodos libres por de un llamado “protocolo routing interno”. En un inicio se desarrolló una primera versión llamada RIP que presentaba diversos problemas en cuanto a conexión y velocidad. En la actualidad se ha logrado desarrollar la segunda versión denominada OSPF que se basa principalmente en el algoritmo Dijkstra y siempre trata de encontrar la ruta más cortaen la transmisión de datos y con un muy buen algoritmo de seguridad. En esta investigación se presenta la forma en que este protocolo actúa y logra establecer relación entre diferentes máquinas de una red, como conecta la red virtual, previene y corrige errores y posibles saturaciones. Se trata de hacer una forma entendible y manejable para poder tener un concepto claro del funcionamiento de este protocolo y se citan ejemplos que tratan de mejorar el entendimiento del estudiante. MARCO TEORICO 5
  • 6. ABRIR PRIMERO LA RUTA MAS CORTA En el desarrollo de este capítulo se describe el protocolo de enrutamiento OSPF (Open ShortestPathFirst, abrir primero la ruta más corta) en los dispositivos de seguridad. OSPF es unprotocolo de enrutamiento jerárquico de pasarela interior, de envestidura dinámica IGP (Interior Gateway Protocol), que usa el algoritmo SmothWallDijkstra enlaceestado (LSE - Link StateAlgorithm) para calcular la ruta más corta posible, utilizando la métrica de menor costo, por ejemplo una métrica podría ser el menor costo de RTT (Round Trip Time). Usa costcomo su medida de métrica. Además, construye una base de datos enlace-estado (link-statedatabase, LSDB) idéntica en todos los enrutadores de la zona. Los enrutadores OSPF utilizan las LSA de los enrutadores contiguos para actualizaruna base de datos de estado de conexiones. El protocolo OSPF utiliza la base de datos de estado de conexiones para determinar cuál es la mejor ruta a una red cualquiera dentro del sistema autónomo. Esto se consigue generando un árbol de ruta más corta, que es una representación gráfica de la ruta más corta a una determinada red dentro del sistema autónomo. Aunque todos los enrutadores tienen la misma base de datos de estado de conexiones, sus árboles de ruta más corta son exclusivos, ya que los enrutadores generan estos árboles situándose a sí mismos en su raíz. Áreas De forma predeterminada, OSPF se puede descomponer en regiones (áreas) más pequeñas. Hay un área especial llamada área backbone(normalmente es el área 0.0.0.0). Sin embargo, las redes de gran tamaño que se encuentran dispersas geográficamente se suelen segmentar en múltiples áreas. A medida que la red se amplía, las bases de datos de estado de conexión también crecen y se dividen en grupos más pequeños para mejorar su posibilidad de ampliación. Si no es posible hacer una conexión directa con el backbone, se puede hacer un enlace virtual entre redes. Las áreas reducen el volumen de información de enrutamiento que pasa a través dela red, ya que cada enrutador sólo tiene que actualizar la base de datos de estado del área a la que pertenece. No necesita actualizar la información de estado de las redes o enrutadores que se encuentran en otras áreas. Un enrutador conectado múltiples áreas mantiene una base de estado de conexiones por cada área a la que está conectado. Las áreas deben estar conectadas 6
  • 7. directamente al áreabackbone,excepto cuando crean una conexión virtual. Para obtener más información sobre conexiones virtuales. Las notificaciones externas de AS describen rutas a destinos en otros sistemas ASy se inundan en todo un AS. Ciertas áreas OSPF se pueden configurar como áreas de rutas internas (stubáreas); de este modo, las notificaciones externas de sistemas autónomos no inundarán estas áreas. En OSPF se utilizan normalmente dos tiposde áreas habituales:  Área Backbone: También denominado área cero, forma el núcleo de una red OSPF. Es la única área que debe estar presente en cualquier red OSPF, y mantiene conexión, física o lógica, con todas las demás áreas en que esté particionada la red. La conexión entre un área y el backbone se realiza mediante los ABR, que son responsables de la gestión de las rutas no-internas del área (esto es, de las rutas entre el área y el resto de la red).  Área stub: Es aquella que no recibe rutas externas. Las rutas externas se definen como rutas que fueron inyectadas en OSPF desde otro protocolo de enrutamiento. Por lo tanto, las rutas de segmento necesitan normalmente apoyarse en las rutas predeterminadas para poder enviar tráfico a rutas fuera del segmento.  Área not-so-stubby: También conocidas como NSSA, constituyen un tipo de área stub que puede importar rutas externas de sistemas autónomos y enviarlas al backbone, pero no puede recibir rutas externas de sistemas autónomos desde el backbone u otras áreas. Clasificación de enrutadores Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo con su función o su posición en la red:  Enrutador interno: enrutador cuyas interfaces pertenecen a la misma área.  Enrutador de área troncal: enrutador con una interfaz en el área troncal.  Enrutador de límite de área: enrutador conectado a dos o más áreas. Este tipo de enrutador resume las rutas desde distintas áreas para su distribución al área troncal. En los dispositivos de seguridad con OSPF, el área troncal se crea de forma predeterminada. Si se crea una segunda área en un enrutador virtual, el dispositivo funcionará como enrutador de límite de área. 7
  • 8.  Enrutador de límite de sistema autónomo: cuando un área OSPF limita con otro sistema autónomo, el enrutador situado entre los dos sistemas autónomos se considera el enrutador de límite. Estos enrutadores se encargan de distribuir la información de enrutamiento. Protocolo de saludo Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los enrutadores utilizan el protocolo de saludo para establecer y mantener estas relaciones de vecindad. Cuando dos enrutadores establecen comunicación bidireccional, se dice que han establecido una adyacencia. Si dos enrutadores noestablecen una relación de adyacencia, no podrán intercambiar información de enrutamiento. Cuando hay múltiples enrutadores en una red, es necesario configurar un enrutador como enrutador designado y otro como enrutador designado de respaldo. El enrutador designado es responsable de inundar la red con LSA que contengan una lista de todos los enrutadores que admitan OSPF incorporados a la red. El enrutador designado es el único que puede formar adyacencias con otros enrutadores de la red. Así, el enrutador designado es el único de la red que puede proporcionar información de enrutamiento al resto de enrutadores. El enrutador designado de respaldo sustituye al enrutador designado en caso de que éste falle. Tipos de redes Juniper Networks, Inc. es un fabricante estadounidense de equipos de red fundada en 1996 por PradeepSindhu. Tiene su sede en Sunnyvale, California, EE.UU. La compañía diseña y vende alto rendimiento de protocolo de Internet los productos y servicios de red. Los principales productos de Juniper incluyen la serie T, serie M, serie E, MX-series y la serie J familias de routers, EX-series switches Ethernet y productos de seguridad de la serie SRX. Junos, propia de Juniper sistema operativo de red, se ejecuta en la mayoría de los productos de Juniper. Para más información de Juniper Networks diríjase al anexo A. Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de redes OSPF:  Redes de difusión 8
  • 9. Una red de difusión (broadcast) es una red que interconecta varios enrutadores y que puede enviar (o difundir) un único mensaje físico a todos los enrutadores conectados. Ethernet es un ejemplo de red de difusión.En las redes de difusión, el enrutador OSPF detecta dinámicamente los enrutadores vecinos enviando paquetes de saludo a la dirección multidifusión 224.0.0.5. En las redes de difusión, el protocolo de saludo decide cuál será el enrutador designado y el enrutador designado de respaldo para la red.  Redes punto a punto Una red punto a punto une dos enrutadores a través de una red de área extensa (WAN). Un ejemplo de red punto a punto serían dos dispositivos de seguridad conectados a través de un túnel VPN IPSec. En las redes punto a punto, el enrutador OSPF detecta dinámicamente los enrutadores vecinos enviando paquetes de saludo a la dirección multicast 224.0.0.5.  Redes punto a multipunto Una red punto a multipunto es una red que no es de difusión en la que OSPF trátalas conexiones entre enrutadores como vínculos punto a punto. Para la red no existe ninguna elección de un enrutador designado ni de inundación LSA. Un enrutador en una red punto a multipunto envía paquetes de saludo a todos los vecinos con quienes pueda comunicarse directamente. Notificaciones de estado de conexiones Cada enrutador OSPF envía notificaciones de estado de conexiones (LSA) que definen la información de estado local del enrutador. Además, hay otros tipos de LSA que un enrutador envía, dependiendo de la función de OSPF del enrutador. La Tabla 5 detalla los tipos de LSA, dónde se inunda cada tipo de LSA y el contenido década tipo de LSA. Tabla 5: Resumen del contenido y tipos de LSA 9
  • 10. Configuración básica de OSPF En esta sección se describen los pasos básicos para configurar OSPF en un enrutador virtual ubicado en un dispositivo de seguridad: 1. Crear y habilitar la instancia de enrutamiento OSPF en un enrutador virtual. En este paso también se crea automáticamente un área troncal de OSPF, con unid de área de 0.0.0.0, que no se podrá eliminar. 2. (Opcional) A menos que todas las interfaces OSPF se conecten al área troncal, tendrá que configurar una nueva área OSPF con su propia ID de área. Por ejemplo, si el dispositivo de seguridad va a funcionar como enrutador de límite de área, tendrá que crear otra área OSPF además del área troncal. La nueva área que se cree podrá ser normal, de rutas internas o no exclusiva de rutas internas. 3. Asignar una o varias interfaces a cada área OSPF. Las interfaces se deben agregar a un área OSPF explícitamente, incluyendo el área troncal. 4. Habilitar OSPF en cada interfaz. 5. Comprobar que el protocolo OSPF está configurado correctamente y funciona. En este ejemplo configuraremos el dispositivo de seguridad como enrutador delimite de área conectándolo al área 0 a través de la interfaz ethernet3 y al área 10a través de ethernet1. Consulte la Figura 10. 10
  • 11. Opcionalmente también es posible configurar otros parámetros de OSPF revisar el apéndice B. Creación y eliminación de una instancia de enrutamiento OSPF Es posible crear y habilitar una instancia de enrutamiento OSPF en un VR específico ubicado en un dispositivo de seguridad. Para eliminar una instancia de enrutamiento OSPF, desactive la instancia OSPF y luego elimínela. Al crear la instancia de enrutamiento OSPF se crea automáticamente el área troncal OSPF. Si crea y habilita una instancia de enrutamiento OSPF en un enrutador virtual, OSPF podrá transmitir y recibir paquetes en todas las interfaces habilitadas para OSPF del enrutador. Creación de una instancia de OSPF En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador trust-vr. A continuación creará una instancia de enrutamiento OSPF en él. WebUI 1. ID de enrutador Network >Routing> Virtual Router (trust-vr) >Edit: Introduzca los siguientes datos y haga clic en OK: - Virtual Router ID: Custom (seleccione) - En el cuadro de texto, introduzca 0.0.0.10 2. Instancia de enrutamiento OSPF Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instance: Seleccione OSPF Enabled, luego haga clic en OK. CLI 1. ID de enrutador setvrouter trust-vr router-id 10 2. Instancia de enrutamiento OSPF setvrouter trust-vr protocol ospf setvrouter trust-vr protocol ospf enable sabe 11
  • 12. En la línea de comandos CLI, tendrá que crear la instancia de enrutamiento OSPF antes de poder habilitarla. Por lo tanto, tendrá que ejecutar dos comandos CLI para habilitar una instancia de enrutamiento OSPF. Eliminación de una instancia de OSPF En este ejemplo inhabilitará la instancia de enrutamiento OSPF en el enrutador virtual trustvr. OSPF dejará de transmitir y procesar paquetes OSPF en todas las interfaces habilitadas para OSPF en el enrutador trust-vr. WebUI Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: Desactive OSPF Enabled, luego haga clic en OK. Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF Instante, luego haga clic en OK en el mensaje de confirmación. CLI unsetvrouter trust-vr protocol ospf deleting OSPF instance, are you sure? y/[n] sabe Creación y eliminación de un área OSPF Las áreas reducen el volumen de información de enrutamiento que tiene que pasar por la red, ya que los enrutadores OSPF sólo actualizan la base de datos de estado de conexiones del área a la que pertenecen. No necesitan actualizar la información de estado de las redes o enrutadores que se encuentran en otras áreas. Todas las zonas deben conectarse a la zona 0, que se crea al configurar una instancia de enrutamiento OSPF en el enrutador virtual. Si es necesario crear un área OSPF adicional, también es posible definirla como área de rutas internas área no exclusiva de rutas internas. Si desea más información sobre estos tipos de áreas, consulte “Áreas” en la página 48. La Tabla 6 detalla los parámetros de área, con descripciones de cada parámetro, e indica el valor predeterminado de cada uno de éstos. Tabla 6: Parámetros de áreas de OSPF y sus valores predeterminados 12
  • 13. Creación de un área OSPF En el siguiente ejemplo creará un área OSPF con la ID de area 10. WebUI Network > Routing > Virtual Routers >Edit (trust-vr) > Edit OSPF Instance> Area: Introduzca los siguientesdatos y hagaclic en OK: Area ID: 10 Type: normal (seleccione) Action: Add CLI setvrouter trust-vr protocol ospf area 10 sabe Eliminación de un área OSPF Antes de que pueda eliminar un área de OSPF, debe desactivar el proceso de OSPF para VR. En el siguiente ejemplo, detenga el proceso de OSPF y luego elimine un área de OSPF con una ID de área de 10. WebUI Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance: Elimine la selección OSPF Enabled, luego haga clic en OK. Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance >Area: Haga clic en Remove. CLI unsetvrouter trust-vr protocol ospf enable unsetvrouter trust-vr protocol ospf area 0.0.0.10 save 13
  • 14. Asignación de interfaces a un área OSPF Asignación de interfaces a un área OSPF Es posible asignarle una o varias interfaces, ya sea utilizando la WebUI o el comando CLI set interface. Asignación de interfaces a áreas: En el siguiente ejemplo asignará la interfaz ethernet1 al área OSPF 10 y la interfaz ethernet3 al área OSPF 0. WebUI Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area > Configure (Area 10): Utilize el botón Add para mover la interfaz ethernet1 de la columna Available Interface(s) a la columna Selected Interfaces. Haga clic en OK. Network > Routing > Virtual Routers >Edit (para trust-vr) > Edit OSPF Instance > Area > Configure (Area 0): Utilice el botón Add para mover la interfaz ethernet3 de la columna Available Interface(s) a la columna Selected Interfaces. Hagaclic en OK. CLI set interface ethernet1 protocol ospf area 10 set interface ethernet3 protocol ospf area 0 sabe Configuración de un rango de áreas Al configurar un rango de áreas, deberá especificar si desea notificar o retener el rango de áreas definido en las notificaciones. En el siguiente ejemplo definirá los siguientes rangos de áreas para el área 10: • 10.1.1.0/24, se notificará. • 10.1.2.0/24, no se notificará. WebUI 14
  • 15. Network >Routing> Virtual Routers>Edit (para trust-vr) >Edit OSPF Instance>Area> Configure (0.0.0.10): Introduzca los siguientes datos en la sección AreaRange y haga clic en Add: IP/Netmask: 10.1.1.0/24 Type: (seleccione) Advertise Introduzca los siguientes datos en la sección Área Range y haga clic en Add: IP/Netmask: 10.1.2.0/24 Type: (seleccione) No Advertise CLI setvrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise setvrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise sabe Habilitación de OSPF en interfaces De forma predeterminada, el protocolo OSPF está inhabilitado en todas las interfaces del enrutador virtual (VR). Este protocolo se debe habilitar explícitamente en una interfaz antes de poder asignarla a un área. Si se desactiva OSPF en una interfaz, dejará de transmitir o recibir paquetes en esa interfaz, pero sus parámetros de configuración se conservarán. WebUI Network > Interfaces >Edit (para ethernet1) > OSPF: Seleccione Enable Protocol OSPF, luegohagaclic en Apply. Network > Interfaces >Edit (para ethernet3) > OSPF: Seleccione Enable Protocol OSPF, luego haga clic en Apply. CLI set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf enable save 15
  • 16. Verificación de la configuración Puede ver la configuración introducida para trust-vr ejecutando el siguiente comando CLI: device-> get vrouter trust-vr protocol ospfconfig VR: trust-vrRouterId: 10.1.1.250 ---------------------------------set protocol ospf set enable set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise set interface ethernet1 protocol ospf area 0.0.0.10 set interface ethernet1 protocol ospf enable set interface ethernet3 protocol ospf area 0.0.0.0 set interface ethernet3 protocol ospf enable Redistribución de rutas en protocolos de enrutamiento La redistribución de rutas es el intercambio de información sobre rutas entre protocolos de enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la instancia de enrutamiento OSPF de un mismo enrutador virtual: • Rutas reconocidas por BGP o RIP • Rutas conectadas directamente • Rutas importadas • Rutas configuradas estáticamente WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance>Redistributable Rules: Introduzca los siguientes datos y haga clic en Add: Route Map: add-bgp Protocol: BGP CLI setvrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp save 16
  • 17. Resumen de rutas redistribuidas En las grandes redes, donde pueden coexistir miles de direcciones de red, algunos enrutadores podrían llegar a congestionarse por la gran cantidad de información de ruta. Si ya redistribuyó rutas de un protocolo externo en la instancia de enrutamiento OSPF actual, podrá reunir las rutas en una ruta de red general o resumida. Al resumir múltiples direcciones, hará que un grupo de rutas se reconozcan como una sola, simplificando así el proceso de consulta. Una de las ventajas de crear resúmenes de rutas en redes grandes y complejas es que se pueden aislar los cambios topológicos de otros enrutadores. En este ejemplo redistribuirá las rutas BGP a la instancia de enrutamiento OSPF actual. A continuación resumirá el conjunto de rutas importadas en la dirección de red 2.1.1.0/24. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance>Redistributable Rules: Introduzca los siguientes datos y haga clic en Add: Route Map: add-bgp Protocol: BGP Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance>SummaryImport: Introduzca los siguientes datos y haga clic en Add: IP/Netmask: 2.1.1.0/24 CLI setvrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp setvrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24 sabe Parámetros globales de OSPF En esta sección se describen parámetros globales de OSPF que se pueden configurar de forma opcional en un enrutador virtual (VR). Cuando se configura un parámetro OSPF en el 17
  • 18. nivel de enrutador virtual, los datos de configuración afectarán a las operaciones de todas las interfaces que tengan habilitado el protocolo OSPF. Es posible modificar los valores de los parámetros globales del protocolo de enrutamiento OSPF por medio de las interfaces CLI y WebUI. La Tabla 7 detalla los parámetros globales de OSPF y sus valores predeterminados. Parámetros globales de OSPF Descripción Valor predeterminado Advertise default route Especifica que una ruta predeterminada activa (0.0.0.0/0) en la tabla de rutas del enrutador virtual se notifica en todas las áreas OSPF. También es posible especificar el valor de métrica o si la métrica original de la ruta se preservará, así como el tipo de métrica (ASE tipo 1 o tipo 2). También se puede especificar que la ruta predeterminada siempre se notifique. Especifica que cualquier ruta predeterminada reconocida en OSPF no se agregará a la tabla de rutas. La ruta predeterminada no se notifica Reject default rote La ruta predeterminada reconocida en OSPF se agrega a la tabla de rutas Desactivado Automatic virtual link Especifica que el VR creará una conexión virtual automáticamente si no puede acceder al área troncal de OSPF Maximumhello packets Especifica el número máximo de paquetes de saludo OSPF que el VR puede recibir en un intervalo desaludo. 10 Maximum LSA packets Especifica el número máximo de paquetes LSA de OSPF que el VR puede recibir dentro del intervalo en segundos especificado No hay valor predeterminado RFC 1583 compatibility Especifica que la instancia de enrutamiento OSPF es compatible con la norma RFC 1583, una versión anterior de OSPF. OSPF versión 2, tal y como se define en RFC 2328. Enrutamiento multidireccional de igual coste (ECMP) Especifica el número máximo de rutas (1-4) a utilizar para equilibrar cargas con los destinos que tengan múltiples rutas de igual coste. Consulte la “Configuración del enrutamiento multidireccional de igual coste” en la página 36. Disabled (1). Configura el área OSPF y la ID de enrutador para la conexión virtual. De forma opcional también puede configurar el método de autenticación, el intervalo de saludo y el de retransmisión, el retardo de transmisión o el intervalo de interlocutor muerto para la conexión virtual. No hay conexión Virtual configurada. Virtual link configuration 18
  • 19. Notificación de la ruta predeterminada La ruta predeterminada, 0.0.0.0/0, coincide con cada red de destino en una tabla de rutas, aunque un prefijo más específico anulará la ruta predeterminada. En este ejemplo, usted anunciará la ruta predeterminada de la instancia de enrutamiento OSPF actual. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione Advertising Default Route Enable, luegohagaclic en OK. CLI setvrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1 sabe Conexiones virtuales Aunque todas las áreas deben estar conectadas directamente al área troncal, algunas veces debe crear un área nueva que no se puede conectar físicamente al área troncal. Para resolver este problema se puede configurar una conexión virtual. Una conexión virtual proporciona un área remota con una ruta lógica al área troncal a través de otra área. En los enrutadores, la conexión virtual se debe configurar en los dos extremos de la conexión. Para configurar una conexión virtual en el dispositivo de seguridad, debe definir: • La ID del área OSPF que va a cruzar la conexión virtual. No es posible crear una conexión virtual que cruce el área troncal o un área de rutas internas. • La ID del enrutador al otro extremo de la conexión virtual. La Tabla 8 detalla los parámetros opcionales para las conexiones virtuales. Parámetro de conexión virtual Authentication Descripción Valor predeterminado Especifica la autenticación por contraseña de texto no encriptado o la autenticación MD5. Sin autenticación 19
  • 20. Deadinterval Hellointerval Retransmit interval Transmitdelay Especifica el intervalo en segundos en que no se producirá respuesta desde un dispositivo OSPF vecino antes de que se determine que éste no funciona Especifica el tiempo en segundos entre dos saludos OSPF. Especifica el tiempo en segundos que transcurrirá antes de que la interfaz reenvíe una LSA a un vecino que no respondió a la primera LSA. Especifica el tiempo en segundos entre las transmisiones de paquetes de actualización de estado de conexión enviados a una interfaz. 40 segundos 10 segundos 5 segundos 1 segundo Creación de una conexión virtual En el siguiente ejemplo creará una conexión virtual a través del área OSPF 10 desde el dispositivo-A con ID de enrutador 10.10.1.250 al dispositivo-B con la ID de enrutador 10.1.1.250. Consulte “Enrutamiento” en la página 13 para obtener más información sobre la configuración de ID de enrutadores en los dispositivos de seguridad). También puede configurar la conexión virtual con un retardo de tránsito de 10 segundos. En cada dispositivo de seguridad, tendrá que identificar la ID de enrutador del dispositivo en el otro extremo de la conexión virtual. WebUI (dispositivo-A) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance> Virtual Link: Introduzca los siguientes datos y haga clic en Add: Area ID: 10 (seleccione) Router ID: 10.1.1.250 > Configure: En el campo TransmitDelay, escriba 10 y haga clic en OK. CLI (dispositivo-A) setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.1.1.250 setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.1.1.250 transit-delay 10 Save 20
  • 21. WebUI (dispositivo-B) Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance> Virtual Link: Introduzca los siguientes datos y haga clic en Add: Area ID: 10 Router ID: 10.10.1.250 > Configure: En el campo TransmitDelay, escriba 10 y haga clic en OK. CLI (dispositivo-B) setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.10.1.250 setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.10.1.250 transit-delay 10 save Creación de una conexión virtual automática Puede hacer que un enrutador virtual (VR) cree automáticamente una conexión virtual para las instancias en las que no sea posible acceder al área troncal de la red. Si el enrutador virtual crea conexiones virtuales automáticamente se ahorrará el tiempo necesario para crear cada una de las conexiones virtuales de forma manual. En el siguiente ejemplo configuraremos la creación automática de conexiones virtuales. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione AutomaticallyGenerate Virtual Links, luego haga clic en OK. CLI setvrouter trust-vr protocol ospf auto-vlink save 21
  • 22. Ajuste de parámetros OSPF de interfaz En esta sección se describen los parámetros OSPF que se pueden configurar en el nivel de interfaz. Cuando se configura un parámetro OSPF en el nivel de interfaz, los datos de configuración afectan únicamente al funcionamiento OSPF de la interfaz especificada. Puede modificar los ajustes de los parámetros de la interfaz mediante comandos de interfaz en la CLI o utilizando la WebUI. La Tabla 2 detalla los parámetros opcionales de interfaz de OSPF y sus valores predeterminados. Tabla 2: Parámetros opcionales de interfaz de OSPF y sus valores predeterminados En el siguiente ejemplo, configuramos los siguientes parámetros OSPF para la interfaz ethernet1: 22
  • 23. 1. Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundos. 2. Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos. 3. Aumentar el intervalo entre las transmisiones de LSA a 2 segundos. WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply: Hello Interval: 15 Retransmit Interval: 7 Transit Delay: 2 CLI set interface ethernet1 protocol ospf hello-interval 15 set interface ethernet1 protocol ospf retransmit-interval 7 set interface ethernet1 protocol ospf transit-delay 2 sabe Configuración de seguridad Autenticación de vecinos Un enrutador OSPF se puede suplantar fácilmente, ya que las LSA no se encriptan y la mayoría de los analizadores de protocolo permiten desencapsular paquetes OSPF. La mejor forma de acabar con el riesgo de este tipo de ataques será autenticando los vecinos OSPF. OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos: porautenticación de contraseña simple y por autenticación MD5. Todos los paquetes OSPF recibidos en la interfaz que no se autentiquen se descartarán. De forma predeterminada, ninguna interfaz OSPF tiene la autenticación habilitada. Para la autenticación MD5 se necesita la misma clave utilizada para los enrutadores OSPF de envío y recepción. Puede especificar más de una clave MD5 en el dispositivo de seguridad, cada una de las cuales tendrá su propia clave. Si configura varias claves MD5 en el dispositivo de seguridad, podrá seleccionar un identificador para la clave que se utilizará para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible cambiar periódicamente las claves MD5 por parejas de enrutadores minimizando el riesgo de que algún paquete se descarte. Relación con los vecinos en OSPF 23
  • 24. Cada encaminador OSPF realiza un seguimiento de sus nodos vecinos, estableciendo distintos tipos de relación con ellos. Respecto a un encaminador dado, sus vecinos pueden encontrarse en siete estados diferentes. Estados de OSPF:  Desactivado (DOWN). En el estado desactivado, el proceso OSPF no ha intercambiado información con ningún vecino. OSPF se encuentra a la espera de pasar al siguiente estado (Estado de Inicialización)  Inicialización (INIT). Los routers (enrutadores) OSPF envían paquetes tipo 1, o paquetes Hello, a intervalos regulares con el fin de establecer una relación con los Routers vecinos. Cuando una interfaz recibe su primer paquete Hello, el router entra al estado de Inicialización. Esto significa que este sabe que existe un vecino a la espera de llevar la relación a la siguiente etapa. Los dos tipos de relaciones son Bidireccional y Adyacencia. Un routerdebe recibir un paquete Hello (Hola) desde un vecino antes de establecer algún tipo de relación.  Bidireccional (TWO-WAY). (encaminador = enrutador). Empleando paquetes Hello, cada enrutador OSPF intenta establecer el estado de comunicación bidireccional (dosvías) con cada enrutador vecino en la misma red IP. Entre otras cosas, el paquete Hello incluye una lista de los vecinos OSPF conocidos por el origen. Un enrutador ingresa al estado Bidireccional cuando se ve a sí mismo en un paquete Hello proveniente de un vecino. El estado Bidireccional es la relación más básica que vecinos OSPF pueden tener, pero la información de encaminamiento no es compartida entre estos. Para aprender los estados de enlace de otros enrutadores y eventualmente construir una tabla de enrutamiento, cada enrutador OSPF debe formar a lo menos una adyacencia. Una adyacencia es una relación avanzada entre enrutadores OSPF que involucra una serie de estados progresivos basados no solo en los paquetes Hello, sino también en el intercambio de otros 4 tipos de paquetes OSPF. Aquellos encaminadores intentando volverse adyacentes entre ellos intercambian información de encaminamiento incluso antes de que la adyacencia sea completamente establecida. El primer paso hacia la adyacencia es el estado ExStart.  Inicio de Intercambio (EXSTART). Técnicamente, cuando un encaminador y su vecino entran al estado ExStart, su conversación es similar a aquella en el estado de Adyacencia. ExStart se establece empleando descripciones de base de datos tipo 2 (paquetes DBD), también conocidos como DDPs. Los dos encaminadores vecinos emplean paquetes Hello para negociar quien es el "maestro" y quien es el "esclavo" en su relación y emplean DBD para intercambiar bases de datos. Aquel encaminador con el mayor router ID "gana" y se convierte en el maestro. Cuando los vecinos establecen sus roles como maestro y esclavo entran al estado de Intercambio y comienzan a enviar información de encaminamiento.  Intercambio (EXCHANGE). En el estado de intercambio, los encaminadores vecinos emplean paquetes DBD tipo 2 para enviarse entre ellos su información de estado de enlace. En otras palabras, los encaminadores se describen sus bases de datos de estado de enlace entre ellos. Los encaminadores comparan lo que han aprendido con lo que ya tenían en su base de datos de estado de enlace. Si alguno de los encaminadores recibe información acerca de un enlace que no se encuentra en su 24
  • 25. base de datos, este envía una solicitud de actualización completa a su vecino. Información completa de encaminamiento es intercambiada en el estado Cargando.  Cargando (LOADING). Después de que las bases de datos han sido completamente descritas entre vecinos, estos pueden requerir información más completa empleando paquetes tipo 3, requerimientos de estado de enlace (LSR). Cuando un enrutador recibe un LSR este responde empleando un paquete de actualización de estado de enlace tipo 4 (LSU). Estos paquetes tipo 4 contienen las publicaciones de estado de enlace (LSA) que son el corazón de los protocolos de estado de enlace. Los LSU tipo 4 son confirmados empleando paquetes tipo 5 conocidos como confirmaciones de estado de enlace (LSAcks).  Adyacencia completa (FULL). Cuando el estado de carga ha sido completada, los enrutadores se vuelven completamente adyacentes. Cada enrutador mantiene una lista de vecinos adyacentes, llamada base de datos de adyacencia. Configuración de una contraseña de texto no cifrado En este ejemplo, crearemos la contraseña de texto no encriptado 12345678 para OSPF en la interfaz ethernet1. WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply: Password: (seleccione), 12345678 CLI set interface ethernet1 protocol ospf authentication password 12345678 save Configuración de una contraseña MD5 En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 y seleccionará una de ellas para que sea la clave activa. Cada clave MD5 puede tener 16 caracteres. El número identificador de clave debe estar entre 0 y 255. El identificador de clave predeterminado es 0, de manera que no es necesario especificar el identificador de clave para la primera clave MD5 que introduzca. WebUI Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply: 25
  • 26. Authentication: MD5 Keys: (seleccione) 1234567890123456 9876543210987654 Key ID: 1 Preferred: (seleccione) CLI set interface ethernet1 protocol ospf authentication md5 1234567890123456 set interface ethernet1 protocol ospf authentication md5 9876543210987654 key-id 1 set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1 save Configuración de una lista de vecinos de OSPF Los entornos de acceso múltiple permiten que los dispositivos, incluyendo los enrutadores, se puedan conectar a una red de forma relativamente sencilla. Esto puede provocar problemas de estabilidad o rendimiento si el dispositivo conectado no es fiable. De forma predeterminada, la instancia de enrutamiento OSPF en el enrutador virtual (VR) ScreenOS forma adyacencias con todos los vecinos OSPF que secomunican en una interfaz con OSPF. Es posible limitar los dispositivos de una interfaz que pueden formar adyacencias con la instancia de enrutamiento OSPF definiendo una lista de subredes que contengan vecinos OSPF que se puedan elegir. Sólo los hosts o enrutadores que se encuentren en las subredes definidas podrán formar adyacencias con la instancia de enrutamiento OSPF. Para especificar las subredes que contienenvecinos OSPF válidos, se debe definir una lista de acceso a las subredes en el nivel del enrutador virtual (VR). En este ejemplo configuraremos una lista de acceso que permitirá la comunicación con los hosts de la subred 10.10.10.130/27. A continuación especificaremos la lista de acceso para que configure vecinos OSPF válidos. WebUI Network > Routing > Virtual Router (trust-vr) > Access List > New: 26
  • 27. Introduzca los siguientes datos y haga clic en OK: Access List ID: 4 Sequence No.: 10 IP/Netmask: 10.10.10.130/27 Action: Permit (seleccione) Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply: Neighbor List: 4 CLI set vrouter trust-vr access-list 4 set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10 set interface ethernet1 protocol ospf neighbor-list 4 save Rechazo de rutas predeterminadas En los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada (0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desvíen a él. El enrutador puede descartar los paquetes, causando una interrupción en el servicio, o puede entregar información crítica a los paquetes antes de reenviarlos. En los dispositivos de seguridad de Juniper Networks, OSPF acepta en principio cualquier ruta predeterminada reconocida en OSPF y agrega la ruta predeterminada a la tabla de rutas. En el siguiente ejemplo especificaremos que una ruta predeterminada no se reconozca en OSPF. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Seleccione la casilla de verificación Do Not Add Default-route Learned in OSPF, luego haga clic en OK. CLI set vrouter trust-vr protocol ospf reject-default-route sabe Protección contra inundaciones 27
  • 28. Un enrutador peligroso o que no funcione correctamente puede inundar a sus vecinos con paquetes de saludo OSPF o con LSA. Cada enrutador capta la información de las LSA enviadas por otros enrutadores en la red para recuperar la información de rutas para la tabla de enrutamiento. La protección contra inundaciones de LSA permite determinar el número de LSA que entrarán enel enrutador virtual (VR). Si éste recibe demasiadas LSA, el enrutador fallará por una inundación LSA. Los ataques por LSA se producen cuando un enrutador genera un número excesivo de LSA en un periodo corto de tiempo, puesto que hace que los demás enrutadores OSPF de la red se mantengan ocupados ejecutando el algoritmo SPF. En los enrutadores virtuales que utilizan ScreenOS, es posible configurar el número máximo de paquetes de saludo por intervalo de saludo y el número máximo de LSA que recibirá una interfaz OSPF durante un intervalo determinado. Los paquetes que excedan el límite configurado se descartarán. De forma predeterminada, el límite de paquetes de saludo OSPF es de 10 paquetes por intervalo de saludo (el intervalo de saludo predeterminado para una interfaz OSPF es de 10 segundos). No hay ningún límite de LSA predefinido; si no impone un límite de LSA, se aceptarán todas. Configuración de un umbral de saludo En el siguiente ejemplo configuraremos un umbral de 20 paquetes por intervalo de saludo. Este intervalo, que se puede configurar independientemente en cada interfaz OSPF, no variará; seguirá ajustado a 10 segundos. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF Instance: Introduzca los siguientes datos y haga clic en OK: Prevent Hello Packet Flooding Attack: On Max Hello Packet: 20 CLI set vrouter trust-vr protocol ospf hello-threshold 20 save Configuración de un umbral de LSA En este ejemplo estableceremos un límite OSPF de 10 paquetes LSA cada 20 segundos para evitar ataques por inundación de LSA. WebUI Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF 28
  • 29. Instance: Introduzca los siguientes datos y haga clic en OK: LSA Packet Threshold Time: 20 Maximum LSAs: 10 CLI set vrouter trust-vr protocol ospf lsa-threshold 20 10 save Habilitación de la inundación reducida Puede habilitar la característica de reducción de inundaciones para suprimir la inundación LSA en las interfaces de punto a punto, como serie, de túnel o línea asíncrona de abonado digital (ADSL), o interfaces de difusión, como las interfaces de Ethernet. En el ejemplo siguiente, habilitará la supresión periódica de LSA sin afectar al flujo de paquetes de saludo hacia la interfaz tunnel.1. WebUI Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes datos, luego haga clic en Apply: Reduce Flooding: (seleccione) CLI set interface tunnel.1 protocol ospf reduce-flooding save Creación de un circuito de demanda OSPF en una interfaz de túnel Los circuitos de demanda de OSPF, según lo definido en la norma RFC 1793, son segmentos de red en los que el tiempo de conexión o de utilización afecta al coste de uso de dichas conexiones. En un circuito de demanda, el tráfico generado por OSPF necesita limitarse a los cambios en la topología de la red. En los dispositivos de seguridad de Juniper Networks, únicamente las interfaces de punto a punto, como las interfaces serie, de túnel o de línea asíncrona de abonado digital (ADSL), pueden ser circuitos de demanda, y para que funcionen adecuadamente, ambos extremos del túnel se deben configurar manualmente como circuitos de demanda. En interfaces de túnel configuradas como circuitos de demanda, el dispositivo de seguridad suprime el envío de paquetes de saludo OSPF y la actualización periódica de inundaciones LSA para disminuir la sobrecarga. Cuando el vecino OSPF alcanza el estado completo “Full” (los saludos “Hello”coinciden y los LSA del enrutador y de la red reflejan a todos los vecinos adyacentes), el dispositivo de seguridad suprime los paquetes de saludo periódicos y el LSA 29
  • 30. se actualiza. El dispositivo de seguridad inunda solamente LSA cuyo contenido haya cambiado. WebUI Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos, luego haga clic en Apply: Demand Circuit: (seleccione) CLI set interface tunnel.1 protocol ospf demand-circuit save Interfaz de túnel punto a multipunto Al asociar una interfaz de túnel a una zona OSPF en un dispositivo de seguridad, de forma predeterminada se crea un túnel OSPF punto a punto. La interfaz de túnel punto a punto puede formar una adyacencia con solamente un enrutador OSPF en el extremo remoto. Si la interfaz de túnel local va a ser asociada a múltiples túneles, debe configurar la interfaz de túnel local como interfaz punto a multipunto e inhabilitar la característica route-deny en la interfaz de túnel. Establecer el tipo de conexión OSPF Si se propone formar adyacencias OSPF en múltiples túneles, necesitará establecer el tipo de conexión como punto a multipunto (p2mp). En el siguiente ejemplo establecerá el tipo de conexión de tunnel.1 en punto a multipunto (p2mp) para cumplir con los requisitos de su red. WebUI Network > Interface > Edit > OSPF: Seleccione Point-to-Multipoint de la lista de botones de opción “Link Type”. CLI set interface tunnel.1 protocol ospf link-type p2mp save Inhabilitación de la restricción Route-Deny De forma predeterminada, el dispositivo de seguridad puede enviar y recibir paquetes a través de la misma interfaz a menos que esté configurado explícitamente para no enviarlos y recibirlos en la misma interfaz. En un entorno punto a multipunto, este comportamiento 30
  • 31. puede ser deseable. Para configurar el dispositivo de seguridad para enviar y recibir en la misma interfaz, debe inhabilitar la restricción route-deny. En este ejemplo inhabilitará la restricción route-deny mediante CLI en la interfaz de túnel punto a multipunto tunnel.1. Creación de una red punto a multipunto La Figura 12 muestra una empresa de tamaño mediano con su oficina central (OC) en San Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York. Cada oficina tiene un solo dispositivo de seguridad. Los siguientes son los requisitos de configuración específicos del dispositivo de seguridad en la OC: 1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a continuación, configurar la interfaz tunnel.1. 2. Configurar las cuatro VPN y asociarlas a la interfaz tunnel.1. Los siguientes son los requisitos de configuración propios de los dispositivos de seguridad remotos: 1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a continuación, configurar la interfaz tunnel.1. 2. Configurar la VPN y asociarla a la interfaz tunnel.1. Los valores de temporizadores para todos los dispositivos deben coincidir para quelas adyacencias puedan formarse. La Figura 1 muestra el escenario descrito de lared. Figura1: se originan cuatro VPN en el dispositivo de seguridad de San Francisco e irradian hacia las oficinas remotas en Nueva York. Los Ángeles. Montreal y Chicago. 31
  • 32. En este ejemplo, configurará los siguientes ajustes en el dispositivo de seguridad de la oficina central OC: 1. Interfaces y zona de seguridad 2. VPN 3. Rutas y OSPF Para completar la configuración de la red, configurará los siguientes ajustes en cada uno de los cuatro dispositivos de seguridad de las oficinas remotas: 1. Interfaz y OSPF 2. VPN 3. Directiva 32
  • 33. CONCLUSIONES Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de redes OSPF Redes de difusión, Redes punto a punto y Redes punto a multipunto. OSPF es una solución de enrutamiento escalable para lacada vez mayor de las redes IP actuales. Su topología compleja y descriptiva la publicidad y el concepto de áreas de encaminamiento jerárquicos satisfacen la demandas de la red más diversificada diseños. Convergencia rápida y el solidez de la base de datos de estado de enlace intercambios son las principales características de OSPF redes. También es importante OSPF la mejora del diseño de seguridad de red. Contadas las características y capacidades mejoradas de redes OSPF, una prueba adecuada metodología es esencial para ayudar a la red OSPF es una solución de enrutamiento escalable para lacada vez mayor de las redes IP actuales. Su topología compleja y descriptiva la publicidad y el concepto de áreas de encaminamiento jerárquicos satisfacen la demandas de la red más diversificada diseños. Convergencia rápida y la solidez de la base de datos de estado de enlace Intercambios son las principales características de OSPF redes. También es importante OSPF la mejora del diseño de seguridad de red. Contadas las características y capacidades mejoradas de redes OSPF, una prueba adecuada metodología es esencial para ayudar a la red Como ya vimos OSPF es un modelo que esta mejorado porque como va pasando el tiempo van implementando otros modelos más mejorados que este, pero en este caso en los conocimientos lo implementamos en la práctica. En comparación con RIP v1 y v2, OSPF es el IGP preferido porque es escalable. RIP se limita a 15 saltos, converge lentamente y a veces elige rutas lentas porque pasa por alto ciertos factores críticos como por ejemplo el ancho de banda a la hora de determinar la ruta. OSPF ha superado estas limitaciones y se ha convertido en un protocolo de enrutamiento sólido y escalable adecuado para las redes modernas. OSPF se puede usar y configurar en una sola área en las redes pequeñas. OSPF demuestra ser un protocolo mas optimo para redes grandes, brinda mayor seguridad, además de ser un protocolo de estado de enlace, que a diferencia de RIP que es un protocolo vector distancia, resulta más efectivo en la comunicacion con los routers dentro de una red amplia, la seguridad de las tablas de enrutamiento es esencial en una red, OSPF cubre las necesidades de una red amplia y esta solo se limitara por los saltos permitidos por internet y 33
  • 34. no por el mismo protocolo, comunicándose solamente con los routers vecinos, el inconveniente de este protocolo es que puede resultar lento, debido a los saltos, y por ser un protocolo utilizado para redes amplias. 34
  • 35. ANEXOS 35
  • 36. A continuación se muestra una relación de fuentes de apreciaciones de donde fue recopilada la información en mención en esta monografía.  Apéndice A: Página de Juniper Networks: http://www.juniper.net 36
  • 37.  Apéndice B: Configuración de OSPF: http://www.redes-linux.com/manuales/routing/PIAM-Lab-4-OSPF-1.pdf http://nahum8a.wordpress.com/2009/06/17/practica-7-ospf/ 37
  • 38.  Apéndice C: Comandos de configuración de la red de San Francisco WebUI (dispositivo de la oficina central) 1. Interfaces y zona de seguridad Network > Interfaces > Haga clic en New Tunnel IF y continúe en la páginade configuración. Network > Interfaces > Edit (para ethernet3) y configure la zona y la direcciónIP. Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione Point-to-Multipoint de la lista de botones de opción “Link Type”. 2. VPN VPNs > AutoKey Advanced > Gateway 3. Rutas y OSPF Network > Routing > Virtual Routers > Haga clic en Edit para el enrutadorvirtual y configure los parámetros de OSPF. CLI (dispositivo de la oficina central) 1. Interfaces y zona de seguridad set interface ethernet3 zone untrust set interface ethernet3 ip 1.1.1.1/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip 10.10.10.1/24 2. VPN set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshareospfp2mp proposal pre-g2-3des-sha set ike gateway gw2 address 3.3.3.3 main outgoing-interface ethernet3 preshareospfp2mp proposal pre-g2-3des-sha set ike gateway gw3 address 4.4.4.4 main outgoing-interface ethernet3 preshareospfp2mp proposal pre-g2-3des-sha 38
  • 39. set ike gateway gw4 address 5.5.5.5 main outgoing-interface ethernet3 preshareospfp2mp proposal pre-g2-3des-sha set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn1 monitor rekey set vpn1 id 1 bind interface tunnel.1 set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn2 monitor rekey set vpn2 id 2 bind interface tunnel.1 set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn3 monitor rekey set vpn3 id 3 bind interface tunnel.1 set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha set vpn vpn4 monitor rekey set vpn4 id 4 bind interface tunnel.1 39
  • 40.  Apéndice D: Links de interés: http://www.cisco.com/warp/public/104/1.html http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/ospf.html http://www.freesoft.org/CIE/Topics/89.html http://www.faqs.org/rfcs/rfc1583.html 40
  • 41. BIBLIOGRAFIA  “Conceptos y ejemplosManual de referencia de ScreenOS”Volumen 7, Versión 6  “Redes de Computadores: un enfoque descendente basado enInternet”. J.J. Kurose y K.W. Ross. Pearson Educación, 2ªedición.  “Redes de Computadores”, Andrew S. Tanenbaum, Prentice Hall,4ª edición.  “RFC 1403. The Internet Society”. BGP OSPF Interaction  “RFC 1584. The Internet Society”. Multicast Extensions to OSPF.  “RFC 1586. The Internet Society”. Guidelines for Running OSPF Over Frame relay Networks 41

×