protocolo de administracion de grupos de internet

TRUJILLO-PERU 2013

UNIVERSIDAD NACIONACL

DE TRUJILLO

FACULAD DE INGENIERÍA

ESCUELA DE ING.

MECATRÓNICA

PROTOCOLO DE

ADMINISTRACÍON DE GRUPOS

DE INTERNET

CRUZADO VARGAS JOSUÉ

ROJAS BENITES JUAN JOSÉ

Ing. Mecatrónica

IV CICLO

UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA

REDES DE COMPUTADORAS 2

ÍNDICE

DEDICATORIA……………………………………………………………………………………………………………………………3

INTRODUCCION………………………………………………………………………………………………………………………..4

1. MARCO TEORICO…………………………………………………………………………………………………………5

1.1. CAPITULO I: DEFINICIONES BÁSICAS………………………………………………………………………….5

1.1.1. ¿Qué es IGMP?.......................................................................................................5

1.1.2. ¿Qué son los HOSTS?..............................................................................................6

1.1.3. Enrutadores Multicast………………………………………………………………………………………..6

1.2. CAPITULO II: IGMP EN DISPOSITIVOS DE SEGURIDAD………………………………………………7

1.2.1. Habilitación e inhabilitación de IGMP en interfaces…………………………………………7

1.2.2. Configuración de una lista de accesos para grupos aceptados………….……………9

1.2.3. Configuración de IGMP………………………………………………………………….……………….10

1.2.4. Verificación de una configuración de IGMP………………………………….……………….12

1.3. CAPITULO III: PROXY DE IGMP………………….….……………………………………………………….13

1.3.1. Configuración del proxy de IGMP…………………………………………….………………………14

1.3.2. Configuración de un proxy de IGMP en una interfaz………….……….……………………17

1.3.3. Directivas multicast para configuraciones de IGMP y proxy de IGMP…..………….19

1.3.4. Configuración de un proxy de remitente de IGMP…………………………….….…………23

CONCLUSIONES………………………………………………………………………………………………………………………27

BIBLIOGRAFÍA…………………………………………………………………………………………………………….............28



Queremos dedicarle este trabajo A Dios que nos ha dado la vida y fortaleza

para terminar este proyecto de investigación, A nuestros padres por estar ahí cuando más

los necesitamos y Al Ing. Arturo Díaz por el apoyo académico que nos brindó.



INTRODUCCIÓN

El intercambio de información a través de la Internet clásica se realiza de forma unicast,

es decir, de uno a uno: un servidor envía información a un cliente. De esta manera, si

queremos que la información llegue a más de un usuario tendremos que mandarla tantas

veces como usuarios deban recibirla. Si diez usuarios han de recibir un paquete,

tendremos que mandar diez paquetes iguales, uno para cada uno. Si tienen que recibirlo

mil usuarios, enviaremos mil copias. Esta forma de realizar la transmisión es, obviamente,

ineficiente, cuando no imposible, y limita la comunicación entre múltiples usuarios, más

aún cuánto mayores sean los recursos a consumir.

IGMP (Internet Group Management Protocol) es el protocolo encargado de la gestión de

grupos. Para saber qué usuarios están interesados en la información se utiliza el concepto

de grupo. Los paquetes de datos no se envían a los usuarios directamente, sino que se

envían a una dirección IP que no corresponde a ningún equipo concreto, sino que

identifica a un grupo de receptores. Si un usuario quiere recibir información de un grupo

debe apuntarse a él enviando un mensaje IGMP. El protocolo se encarga de distribuir la

solicitud a través de la red, de manera que los routers sepan que tienen que reenviar

paquetes hacia ese usuario. De la misma forma, IGMP se encarga de controlar si en una

red ya no hay usuarios interesados en un grupo concreto.



I. MARCO TEÓRICO

1.1. CAPITULO I: DEFINICIONES BÁSICAS

1.1.1. ¿Qué es IGMP?

El protocolo de red IGMP se utiliza para intercambiar información acerca del

estado de pertenencia entre enrutadores IP que admiten la multidifusión y

miembros de grupos de multidifusión. Los hosts miembros individuales informan

acerca de la pertenencia de hosts al grupo de multidifusión y los enrutadores de

multidifusión sondean periódicamente el estado de la pertenencia.

Los dispositivos de seguridad admiten las siguientes versiones de IGMP:

IGMPv1, según lo definido en la norma RFC 1112, Extensiones de host para

multicast IP, define las operaciones básicas para miembros de grupos multicast.

IGMPv2, según lo definido en la norma RFC 2236, Protocolo de administración de

grupos de Internet, versión 2, amplía la funcionalidad de IGMPv1.

IGMPv3, según lo definido en la norma RFC 3376, Protocolo de administración de

grupos de Internet, Versión 3, permite la filtración de orígenes. Los hosts que

ejecutan IGMPv3 indican a qué grupos multicast desean unirse y desde qué

orígenes esperan recibir tráfico multicast. IGMPv3 es necesario para ejecutar

multicast independiente de protocolo en modo de origen específico.

Todos los mensajes IGMP se transmiten en datagramas IP y tienen el formato

mostrado en la figura 1. Los campos son los siguientes:

Figura 1: Campos de mensajes IGMP



1.1.2. ¿Qué son los HOSTS?

Los hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse

como miembros en esos grupos. Los enrutadores aprenden qué hosts son

miembros de grupos multicast al escuchar estos mensajes IGMP en sus redes

locales. La Tabla 1 enumera los mensajes de IGMP que los hosts envían y el

destino de los mensajes.

TABLA 1: Mensajes de host IGMP

Versión de

IGMP Mensaje de IGMP Destino

IGMPv1, v2

y v3

Un host envía un informe de miembro la primera vez

que se une a un grupo multicast y periódicamente,

una vez que ya es miembro del grupo. El informe de

miembros indica a qué grupo multicast desea unirse

el host.

Dirección IP del

grupo multicast

al que el host

desea unirse

IGMPv2 y

v3

Un host envía un informe de miembro la primera vez

que se une a un grupo multicast y periódicamente,

una vez que ya es miembro del grupo. El informe de

miembro contiene la dirección multicast del grupo,

el modo de filtración, que es incluir o excluir y una

lista de orígenes. Si el modo de filtración es incluir,

entonces los paquetes procedentes de las direcciones

de la lista de origen se aceptan. Si el modo de

filtración es excluir, entonces los paquetes

procedentes de orígenes distintos a los de la lista de

origen se aceptan.

224.0.0.22

IGMPv3

Un host envía un mensaje Leave group cuando desea

dejar el grupo multicast y dejar de recibir datos para

ese grupo.

“Grupo de todos los

enrutadores” (224.0.0.2)

1.1.3. Enrutadores Multicast

Los enrutadores utilizan IGMP para aprender qué grupos multicast tienen

miembros en su red local. Cada red selecciona un enrutador designado,

denominado el consultador. Generalmente, hay un consultador para cada red. El

consultador envía mensajes IGMP a todos los hosts de la red para solicitar

información de miembros de grupo. Cuando los hosts responden con sus informes

de miembros, los enrutadores toman la información de estos mensajes y

actualizan su lista de miembros de grupos basándose en cada interfaz. Los



enrutadores IGMPv3 mantienen una lista que incluye la dirección del grupo

multicast, el modo de filtración (incluir o excluir) y la lista de orígenes

Con IGMPv1, cada protocolo de enrutamiento multicast determina el

consultador de una red. Con IGMPv2 y v3, el consultador es la interfaz de

enrutador con la dirección IP más baja de la red. La Tabla 2 describe los mensajes

que un contestador envía y los destinos.

Versión de

IGMP Mensaje de IGMP Destino

IGMPv1, v2

y v3

El consultador envía periódicamente consultas

generales para solicitar la información de miembros

de grupos.

Grupo de

“todos los

hosts”

(224.0.0.1)

IGMPv2 y

v3

El consultador envía una consulta específica de

grupo cuando recibe un mensaje Leave Group de

IGMPv2 o un informe de miembros IGMPv3 que

indique un cambio en los miembros del grupo. Si el

consultador no recibe ninguna respuesta en un plazo

especificado, asume que no hay miembros para ese

grupo en su red local y deja de reenviar el tráfico

multicast a ese grupo.

El grupo multicast del que va a salir el host.

IGMPv3

El consultador envía una consulta específica de

grupo y origen para verificar si hay algún receptor

para ese grupo y origen específico.

El grupo multicast del que va a salir el host.

1.2. CAPITULO II: IGMP EN DISPOSITIVOS DE SEGURIDAD

En algunos enrutadores, IGMP se habilita automáticamente cuando habilita un

protocolo de enrutamiento multicast. En los dispositivos de seguridad de Juniper

Networks, debe habilitar explícitamente IGMP y un protocolo de enrutamiento

multicast.

1.2.1. Habilitación e inhabilitación de IGMP en interfaces

De forma predeterminada, IGMP está desactivado en todas las interfaces. Debe

habilitar IGMP en el modo de enrutador en todas las interfaces que estén



conectadas a hosts. En el modo de enrutador, el dispositivo de seguridad ejecuta

IGMPv2 de forma predeterminada. Puede cambiar el ajuste predeterminado y

ejecutar IGMPv1, IGMPv2 y v3 o solamente IGMPv3.

Habilitación de IGMP en una interfaz

En este ejemplo, habilita IGMP en modo enrutador en la interfaz ethernet1 que

está conectada con un host.

WebUI

Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)

CLI set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp enable save

Desactivación de IGMP en una interfaz

En este ejemplo, desactivará IGMP en la interfaz ethernet1. El dispositivo de

seguridad mantiene la configuración de IGMP, pero la desactiva.

WebUI

Network > Interfaces > Edit (para ethernet1) > IGMP: Clear Protocol IGMP Enable, luego haga clic en Apply.

CLI unset interface ethernet1 protocol igmp enable

save

Para borrar la configuración de IGMP introduzca el comando unset interface

interfaz protocol igmp router.

1.2.2. Configuración de una lista de accesos para grupos aceptados

Hay algunos problemas de seguridad que debe tener en cuenta al ejecutar

IGMP. Los usuarios maliciosos pueden falsificar consultas IGMP, informes de

miembros y dejar mensajes. En los dispositivos de seguridad, puede restringir el

tráfico multicast sólo a los hosts y grupos multicast conocidos. Además, también

puede especificar los consultadores permitidos en su red. Estas restricciones se



establecen por medio de la creación de listas de accesos y su aplicación a una

interfaz.

Una lista de acceso es una secuencia de declaraciones que especifica una

dirección IP y un estado de reenvío (permitir o denegar). En IGMP, las listas de

accesos siempre deben tener un estado de reenvío permitido y deben

especificar uno de los siguientes:

Grupos multicast a los que los hosts se pueden unir

Hosts desde los que la interfaz del enrutador IGMP puede recibir mensajes

IGMP

Consultadores desde los que la interfaz del enrutador de IGMP puede recibir

mensajes IGMP

Después de crear una lista de accesos, aplíquela a una interfaz. Una vez que

aplique una lista de accesos a una interfaz, ésta aceptará tráfico solamente de los

orígenes especificados en la lista de accesos. Por lo tanto, para denegar tráfico

procedente de un determinado grupo, host o consultador multicast, simplemente

exclúyalo de la lista de accesos.

En este ejemplo, creará una lista de acceso en el trust-vr. La lista de accesos

especifica lo siguiente:

La identificación de la lista de accesos es 1.

Permitir el tráfico a un grupo multicast 224.4.4.1/32.

El número secuencial de esta declaración es 1.

Después de crear la lista de accesos, permita que los hosts de ethernet1 se unan

al grupo multicast especificado en la lista de accesos.

WebUI

Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:

Access List ID: 1



Figura 2: Ejemplo de configuración IGMP

Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit (seleccione)

Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes

datos y haga clic en OK:

Accept Group’s Access List ID: 1

CLI

set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1

set interface ethernet1 protocol igmp accept groups 1

1.2.3. Configuración de IGMP

Para ejecutar IGMP en un dispositivo de seguridad de Juniper Networks,

simplemente habilítelo en modo enrutador en las interfaces que están

conectadas directamente a los hosts. Para garantizar la seguridad de la red,

utilice las listas de accesos para limitar el tráfico multicast sólo a grupos, hosts y

enrutadores multicast conocidos.

En la Figura 2, los hosts de la zona Trust protegida por el dispositivo de seguridad

NS1 son receptores potenciales del flujo multicast procedente del origen en la

zona Untrust. Las interfaces ethernet1 y ethernet2 están conectadas a los hosts.

El origen multicast está transmitiendo datos al grupo multicast 224.4.4.1. Realice

los pasos siguientes para configurar IGMP en las interfaces que están

conectadas a los hosts:

1. Asigne direcciones IP a las interfaces y enlácelas a zonas.

2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32.

3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2.

4. Restrinja las interfaces (ethernet1 y ethernet2) para que reciban mensajes

IGMPdel grupo multicast 224.4.4.1/32.



WebUI

1. Zonas e interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y

haga clic en OK:

Zone Name: Trust

IP Address/Netmask: 10.1.1.1/24


haga clic en OK:

Zone Name: Trust



haga clic en OK:

Zone Name: Untrust


2. Lista de accesos

Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):

Introduzca los siguientes datos y haga clic en OK:

Access List ID: 1

Sequence No.: 1

IP/Netmask: 224.4.4.1/32

Action: Permit

3. GMP


datos, luego haga clic en Apply:

IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept

Group’s Access List ID: 1


datos, luego haga clic en Apply:

IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept

Group’s Access List ID: 1



CLI

1. Zonas e interfaces

set interface ethernet1 zone trust

set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust

set interface ethernet2 ip 10.2.1.1/24

2. Lista de accesos

set vrouter trust access-list 1 permit ip 224.4.4.1/32 1

3. IGMP

set interface ethernet1 protocol igmp router

set interface ethernet1 protocol igmp accept groups 1 set interface ethernet1

protocol igmp enable

set interface ethernet2 protocol igmp router

set interface ethernet2 protocol igmp accept groups 1 set interface ethernet2

protocol igmp enable

save

Después de configurar IGMP en ethernet1 y ethernet2, debe configurar un

protocolo de enrutamiento multicast, como PIM, para reenviar el tráfico

multicast.

1.2.4. Verificación de una configuración de IGMP

Para verificar la conectividad y asegurarse de que IGMP se esté ejecutando

correctamente, existe una serie de comandos exec y get que puede utilizar.

Para enviar consultas generales o específicas de grupos a una interfaz en

particular, utilice el comando exec igmp interface interfaz query. Por

ejemplo, para enviar una consulta general desde ethernet2, introduzca el

siguiente comando:



exec igmp interface ethernet2 query

Para enviar una consulta específica de grupo desde ethernet2 al grupo

multicast 224.4.4.1, introduzca el siguiente comando:

exec igmp interface ethernet2 query 224.4.4.1

Para enviar un informe de miembros de una interfaz en particular, utilice el

comando exec igmp interface interfaz report. Por ejemplo, para enviar un

informe de miembro desde ethernet2, introduzca el siguiente comando:

exec igmp interface ethernet2 report 224.4.4.1

Puede revisar los parámetros IGMP de una interfaz al introducir el comando

siguiente:

device-> get igmp interface Interface trust support IGMP version 2 router. It is enabled. IGMP proxy is disabled. Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. There are 0 multicast groups active.

Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 segundos query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds

Este resultado enumera la siguiente información:

IGMP versión (2)

Estado del consultador (yo soy el consultador.)

Set and unset parameters

Para mostrar información sobre grupos multicast, ejecute el siguiente comando

CLI:

device-> get igmp group total groups matched: 1 multicast group interface last reporter expire ver



*224.4.4.1 trust 0.0.0.0 ------ v2

1.3. CAPITULO III: PROXY DE IGMP

Los enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; no

reenvían mensajes IGMP más allá de su red local. Puede permitir que las interfaces

de un dispositivo de seguridad de Juniper Networks reenvíen mensajes IGMP un

salto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP

permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el

origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast.

Cuando ejecuta un proxy IGMP en un dispositivo de seguridad, las interfaces

conectadas a hosts funcionan como enrutadores y aquellas conectadas a

enrutadores en sentido ascendente funcionan como hosts. Las interfaces de host y

enrutador generalmente están en zonas diferentes. Para permitir que los mensajes

de IGMP pasen entre zonas, debe configurar una directiva multicast. Luego, para

permitir que el tráfico de datos multicast pase entre zonas, también debe

configurar una directiva de cortafuegos.

En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una

interfaz en el sistema virtual raíz (vsys) y la otra interfaz en vsys separados.

A continuación, cree una directiva multicast para permitir tráfico de control

multicast entre los dos sistemas virtuales. (Para obtener más información sobre los

sistemas virtuales, consulte el Volumen 10: Sistemas virtuales.)

Mientras las interfaces reenvían información de miembros IGMP, crean entradas en

la tabla de rutas multicast del enrutador virtual al que están asociadas, formando

un árbol de distribución multicast desde los receptores hasta el origen. Las

siguientes secciones describen cómo las interfaces de hosts y enrutadores IGMP

reenvían la información de miembros de IGMP en sentido ascendente hacia el

origen, y cómo reenvían datos multicast en sentido descendente desde el origen

hasta el receptor.

1.3.1. Configuración del proxy de IGMP

INFORMES DE MIEMBROS EN SENTIDO ASCENDENTE HACIA EL ORIGEN

Cuando un host conectado a una interfaz de enrutador en un dispositivo de

seguridad se une a un grupo multicast, envía un informe de miembros al grupo

multicast. Cuando la interfaz del enrutador recibe el informe de miembros del



host que se acaba de conectar, comprueba si tiene una entrada para el grupo

multicast.

A continuación, el dispositivo de seguridad lleva a cabo una de las acciones

siguientes:

Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora

el informe de miembros.

Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast,

comprueba si hay una directiva multicast para el grupo que especifique a qué

zona la interfaz del enrutador debe enviar el informe

o Si no hay ninguna directiva multicast para el grupo, la interfaz del

enrutador no reenvía el informe.

o Si hay alguna directiva multicast para el grupo, la interfaz del enrutador

crea una entrada para el grupo multicast y reenvía el informe de

miembros a la interfaz del host proxy en la zona especificada en la

directiva multicast

Cuando una interfaz del host proxy recibe el informe de miembros, comprueba

si tiene una entrada (*, G) para ese grupo multicast.

Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz

del enrutador a la lista de las interfaces de salida para esa entrada.

Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de

entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del

enrutador. A continuación, la interfaz del host proxy reenvía el informe a su

enrutador en sentido ascendente.

DATOS MULTICAST EN SENTIDO DESCENDENTE A LOS RECEPTORES Cuando la interfaz del host en el dispositivo de seguridad recibe datos multicast

para un grupo multicast, comprueba si hay una sesión existente para ese grupo.

Si hay una sesión para el grupo, la interfaz reenvía los datos multicast

basándose en la información de la sesión.

Si no hay sesión para el grupo, la interfaz comprueba si el grupo tiene una

entrada (S, G) en la tabla de rutas multicast.

o Si hay una entrada (S, G), la interfaz reenvía los datos multicast en

consecuencia.

o Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna

entrada (*, G) para el grupo.

o Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta el

paquete.

o Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una

entrada (S, G). Cuando la interfaz recibe paquetes multicast



Figura 3: Configuración del host proxy IGMP

subsiguientes para ese grupo, reenvía el tráfico a la interfaz del

enrutador (la interfaz de salida) que, a su vez, reenvía el tráfico a su host

conectado.

En esta sección se describen los pasos básicos necesarios para configurar IGMP

proxy en un dispositivo de seguridad de Juniper Networks:

1) Habilitar IGMP en el modo host en interfaces en sentido ascendente. De

forma predeterminada, el proxy de IGMP está habilitado en las interfaces

de hosts.

2) Habilitar IGMP en el modo enrutador en interfaces en sentido descendente.

3) Habilitar IGMP proxy en interfaces de enrutador.

4) Configurar una directiva multicast que permita que el tráfico de control

multicast pase de una zona a otra.

5) Configurar una directiva para entregar tráfico de datos entre zonas.

La siguiente figura muestra un ejemplo de una configuración de host proxy de

IGMP.

1.3.2. Configuración de un proxy de IGMP en una interfaz



Cuando ejecute IGMP proxy en un dispositivo de seguridad, la interfaz en

sentido descendente se configura en modo enrutador y la interfaz en sentido

ascendente en modo host. (Observe que una interfaz puede estar en modo host

o en modo enrutador, pero no en ambos). Además, para que una interfaz de

enrutador reenvíe el tráfico multicast, debe ser el consultador en la red local.

Para permitir que una interfaz no consultada reenvíe el tráfico multicast, debe

especificar la palabra clave always al habilitar IGMP en la interfaz.

De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de

su propia subred. Ignora los mensajes IGMP procedentes de orígenes externos.

Debe habilitar el dispositivo de seguridad para que acepte mensajes IGMP

procedentes de orígenes de otras subredes cuando ejecute IGMP proxy.

En este ejemplo, la interfaz ethernet1 tiene la dirección IP 10.1.2.1/24 y está

conectada al enrutador en sentido ascendente. Configure lo siguiente en

ethernet1:

Habilite IGMP en el modo host

Permita que acepte mensajes IGMP desde todos los orígenes, sin importar la

subred

La interfaz ethernet3 tiene la dirección IP 10.1.1.1/24 y está conectada a los

hosts. Configure lo siguiente en ethernet3:

Habilite IGMP en el modo enrutador.

Permita que reenvíe tráfico multicast aunque no sea un consultador.

Permita que acepte mensajes IGMP procedentes de orígenes de otras

subredes.

WebUI

1. Zona e interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK: Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos, luego haga clic en Apply: Zone Name: Trust IP Address/Netmask: 10.1.1.1/24

2. IGMP

Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)



Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en OK: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy: (seleccione) Always (seleccione)

CLI

1. Zona e interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet3 zone trust set interface ethernet1 ip 10.1.1.1/24

2. IGMP set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface ethernet3 protocol igmp router set interface ethernet3 protocol igmp proxy set interface ethernet3 protocol igmp proxy always set interface ethernet3 protocol igmp enable set interface ethernet3 protocol igmp no-check-subnet save

1.3.3. Directivas multicast para configuraciones de IGMP y proxy de IGMP

Normalmente, un dispositivo de seguridad intercambia mensajes IGMP sólo con

sus hosts conectados. Con IGMP proxy, los dispositivos de seguridad podrían

necesitar enviar mensajes IGMP a un host o a un enrutador en otra zona. Para

permitir el envío de mensajes IGMP entre zonas, debe configurar una directiva

multicast que lo permita específicamente. Cuando cree una directiva multicast,

debe especificar lo siguiente:

Origen: La zona desde la que se inicia el tráfico

Destino: La zona a la que se envía el tráfico

Grupo multicast: Puede ser un grupo multicast, una lista de accesos que

especifique grupos multicast o “any”.

Además, puede especificar que la directiva sea bidireccional para aplicar la

directiva a ambos sentidos del tráfico.

CREACIÓN DE UNA DIRECTIVA DE GRUPO MULTICAST PARA IGMP



En este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la

interfaz del host en la zona Untrust. Defina una directiva multicast que permita

que los mensajes IGMP para el grupo multicast 224.2.202.99/32 puedan pasar

entre las zonas Trust y Untrust. Utilice la palabra clave bidirectional para

permitir el tráfico en ambos sentidos.

WebUI

MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32 Bidirectional: (seleccione) IGMP Message: (seleccione)

CLI set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust igmp-message bi-directional sabe

CREACIÓN DE UNA CONFIGURACIÓN DE PROXY DE IGMP Como se indica en la Figura 26, se configura IGMP proxy en los dispositivos de

seguridad NS1 y NS2. Están interconectados a través de un túnel VPN. Realice

los pasos siguientes en los dispositivos de seguridad de ambas ubicaciones:

1) Asignar direcciones IP a las interfaces físicas asociadas a las zonas de

seguridad.

2) Crear los objetos de direcciones

3) Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP

proxy en la interfaz del enrutador. (De forma predeterminada, IGMP proxy

está habilitado en las interfaces de host).

a. Especificar la palabra clave always (siempre) en ethernet1 de NS1 para

permitir que reenvíe el tráfico multicast aunque no sea consultador.

b. De forma predeterminada, una interfaz IGMP sólo acepta paquetes

IGMP de su propia subred. En el ejemplo, las interfaces están en

subredes diferentes. Cuando habilite IGMP, permita que las interfaces

acepten paquetes IGMP (consultas, informes de miembros y mensajes

leave) procedentes de cualquier subred.

4) Configurar las rutas.

5) Configurar el túnel VPN

6) Configurar una directiva para transmitir tráfico de datos entre zonas.



7) Configurar una directiva multicast para entregar mensajes IGMP entre

zonas. En este ejemplo, restringirá el tráfico multicast a un grupo multicast

(224.4.4.1/32).

WebUI (NS1)

1. Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)

2. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust

3. IGMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)

4. Rutas Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)



5. VPN

VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3

6. Directiva Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit

7. Directiva multicast MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)

CLI (NS1) 1. Interfaces

Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3

2. Direcciones set address untrust branch1 10.3.1.0/24

3. IGMP set interface ethernet1 protocol igmp host



set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet

4. Rutas

set route 10.3.1.0/24 interface tunnel.1

5. Túnel VPN set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any

6. Directiva set policy name To_Branch from untrust to trust branch1 any any permit

7. Directiva multicast set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional sabe

1.3.4. Configuración de un proxy de remitente de IGMP

En IGMP proxy, el tráfico multicast generalmente viaja en sentido descendente

desde la interfaz del host a la interfaz del enrutador. En determinadas

situaciones, el origen puede estar en la misma red que la interfaz del enrutador.

Cuando un origen se conecta a una interfaz que se encuentra en la misma red a

la que la interfaz del proxy del enrutador IGMP envía tráfico multicast, el

dispositivo de seguridad comprueba si hay lo siguiente:

Una directiva del grupo multicast que permite el tráfico desde la zona de

origen a la zona de la interfaz del host IGMP proxy

Una lista de accesos de los orígenes aceptables

Si no hay ninguna directiva multicast entre la zona de origen y la zona de la

interfaz IGMP proxy o si el origen no se encuentra en la lista de orígenes

aceptables, el dispositivo de seguridad descarta el tráfico. Si existe una directiva



Figura 4: Proxy de remitente de IGMP

multicast entre la zona de origen y la zona de la interfaz IGMP proxy, y el origen

aparece en la lista de orígenes aceptables, el dispositivo crea una entrada (S, G)

para esa interfaz en la tabla de rutas multicast; la interfaz entrante es la interfaz

a la que el origen está conectado y la interfaz saliente es la interfaz del host

IGMP proxy. Luego, el dispositivo de seguridad envía los datos en sentido

ascendente a la interfaz del host IGMP proxy, que envía los datos a todas sus

interfaces de enrutador proxy conectadas, salvo a la interfaz conectada con el

origen.

La siguiente figura muestra un ejemplo del proxy de remitente de IGMP:

En la figura anterior el origen está conectado a la interfaz ethernet2, enlazada a

la zona DMZ en NS2. Está enviando tráfico multicast al grupo multicast

224.4.4.1/32. Hay receptores conectados a la interfaz ethernet1 enlazada a la

zona Trust en NS2. Tanto ethernet1 como ethernet2 son interfaces de enrutador

IGMP proxy. La interfaz ethernet3 asociada a la zona Untrust de NS2 es una

interfaz de host de IGMP proxy. También hay receptores conectados a la interfaz

ethernet1 enlazada a la zona Trust en NS1. Realice los pasos siguientes en NS2:

1) Asignar direcciones IP a las interfaces físicas enlazadas a las zonas de

seguridad.

2) Crear los objetos de direcciones.

3) En ethernet1 y ethernet2:

a. Habilitar IGMP en el modo enrutador y habilitar IGMP proxy.

b. Especifique la palabra clave always (siempre) para permitir que las

interfaces reenvíen tráfico multicast incluso aunque no sean

consultadores.

4) Habilitar IGMP en modo host en ethernet3.

5) Configurar la ruta predeterminada.

6) Configurar las directivas de cortafuegos entre las zonas.



7) Configurar las directivas multicast entre las zonas.

WebUI (NS2)

1. Interfaces

Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)

2. Direcciones

Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust

3. IGMP

Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)

4. Rutas

Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)



5. VPN

VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3

6. Directiva Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit

7. Directiva multicast

MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)

CLI (NS2) 1. Interfaces

Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3

2. Direcciones

set address untrust branch1 10.3.1.0/24

3. IGMP

set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet



set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet

4. Rutas

set route 10.3.1.0/24 interface tunnel.1

5. Túnel VPN

set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any

6. Directiva set policy name To_Branch from untrust to trust branch1 any any permit

7. Directiva multicast set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save

CONCLUSIONES

El Protocolo de Mensajes de Control de Internet:

Es el sub protocolo de control y notificación deerrores del Protocolo de

Internet (IP).

Se utiliza para enviar mensajes de error y no tomaacciones sobre éste.

Difiere del propósito de TCP y UDP ya quegeneralmente no se utiliza

directamente por lasaplicaciones de usuario en la red:

La única excepción es la herramienta ping ytraceroute.



BIBLIOGRAFÍA

MANUAL DE REFERENCIA SCREENOS, VOL 7 “ENRUTAMIENTO”, CAP 8, Protocolo de

administración de grupos de internet. Edit. ”Sunnyvale”

http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/TCP_IP_Aplicacione

s.pdf

http://www.elcontador.com.ar/modules.php?name=News&file=article&sid=166

http://es.wikipedia.org/wiki/Internet_Group_Management_Protocol

http://csie.unavarra.es/php_documentacion/tecnologia/IGMP/index.php

http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/TCP_IP_Aplicaciones.pdf

http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/TCP_IP_Aplicaciones.pdf

http://www.elcontador.com.ar/modules.php?name=News&file=article&sid=166

http://es.wikipedia.org/wiki/Internet_Group_Management_Protocol

http://csie.unavarra.es/php_documentacion/tecnologia/IGMP/index.php

protocolo de administracion de grupos de internet

Documents