protocolos de enrutamiento: abrir la ruta mas corta
DESCRIPTION
Protocolos de enrutamiento: abrir la ruta mas cortaTRANSCRIPT
UNIVERSIDAD NACIONAL DE TRUJILLO
FACULTAD DE INGENIERIA MECATRONICA
MONOGRAFÍA
ABRIR PRIMERO LA RUTA MAS CORTA
AUTORES: JULIO HERRERA GERMAN JORGE GONGORA BAYONA
JONATHAN CATALAN AVALOS RICHARD JIMENEZ LOPEZ
TRUJILLO – PERU
2013
2
ÍNDICE Dedicatoria: .............................................................................................................................. 3
NTRODUCCIÓN ......................................................................................................................... 5
MARCO TEORICO ...................................................................................................................... 5
ABRIR PRIMERO LA RUTA MAS CORTA .................................................................................. 6
Áreas ................................................................................................................................. 6
Clasificación de enrutadores.............................................................................................. 7
Protocolo de saludo .......................................................................................................... 8
Tipos de redes ................................................................................................................... 8
Notificaciones de estado de conexiones ............................................................................ 9
Configuración básica de OSPF .......................................................................................... 10
Creación y eliminación de una instancia de enrutamiento OSPF ...................................... 11
Creación y eliminación de un área OSPF .......................................................................... 12
Asignación de interfaces a un área OSPF ......................................................................... 14
Habilitación de OSPF en interfaces .................................................................................. 15
Verificación de la configuración ....................................................................................... 16
Redistribución de rutas en protocolos de enrutamiento .................................................. 16
Resumen de rutas redistribuidas ..................................................................................... 17
Parámetros globales de OSPF .......................................................................................... 17
Notificación de la ruta predeterminada ........................................................................... 19
Conexiones virtuales ....................................................................................................... 19
Ajuste de parámetros OSPF de interfaz ........................................................................... 22
Autenticación de vecinos ................................................................................................. 23
Configuración de una lista de vecinos de OSPF ................................................................ 26
Rechazo de rutas predeterminadas ................................................................................. 27
Protección contra inundaciones ...................................................................................... 27
Interfaz de túnel punto a multipunto............................................................................... 30
Establecer el tipo de conexión OSPF ................................................................................ 30
Inhabilitación de la restricción Route-Deny ..................................................................... 30
Creación de una red punto a multipunto ......................................................................... 31
CONCLUSIONES ....................................................................................................................... 33
ANEXOS .................................................................................................................................. 35
Apéndice A: ................................................................................................................. 36
Apéndice B: ................................................................................................................. 37
Apéndice C: ................................................................................................................. 38
Apéndice D: ................................................................................................................. 40
3
BIBLIOGRAFIA ......................................................................................................................... 41
Dedicatoria:
4
Dedicamos este trabajo en primer lugar a nuestros padres quienes nos apoyan en todo
momento, por sus consejos, sus valores inculcados, por la motivación constante que nos
permiten ser unas personas de bien. A mi padre por los ejemplos de perseverancia y de seguir
mis sueños para ser una persona de bien en el futuro.
A mis maestros por su gran apoyo y motivación para la culminación de nuestros estudios
profesionales, por transmitirnos sus conocimientos obtenidos y habernos llevado paso a paso
en el camino de aprendizaje.
5
NTRODUCCIÓN
Con el aumento de las diversas tecnologías, y las grandes expectativas que estas producen en
los usuarios o consumidores, se debe siempre idear una forma más rápida y efectiva para
brindar un mejor servicio.
Es por este motivo que en la distribución de información en una red se desarrolló una forma
de lograr el rápido transporte de paquetes y la redistribución a través de nodos libres por de
un llamado “protocolo routing interno”.
En un inicio se desarrolló una primera versión llamada RIP que presentaba diversos problemas
en cuanto a conexión y velocidad.
En la actualidad se ha logrado desarrollar la segunda versión denominada OSPF que se basa
principalmente en el algoritmo Dijkstra y siempre trata de encontrar la ruta más cortaen la
transmisión de datos y con un muy buen algoritmo de seguridad.
En esta investigación se presenta la forma en que este protocolo actúa y logra establecer
relación entre diferentes máquinas de una red, como conecta la red virtual, previene y corrige
errores y posibles saturaciones.
Se trata de hacer una forma entendible y manejable para poder tener un concepto claro del
funcionamiento de este protocolo y se citan ejemplos que tratan de mejorar el entendimiento
del estudiante.
MARCO TEORICO
6
ABRIR PRIMERO LA RUTA MAS CORTA
En el desarrollo de este capítulo se describe el protocolo de enrutamiento OSPF (Open
ShortestPathFirst, abrir primero la ruta más corta) en los dispositivos de seguridad.
OSPF es unprotocolo de enrutamiento jerárquico de pasarela interior, de envestidura
dinámica IGP (Interior Gateway Protocol), que usa el algoritmo SmothWallDijkstra enlace-
estado (LSE - Link StateAlgorithm) para calcular la ruta más corta posible, utilizando la métrica
de menor costo, por ejemplo una métrica podría ser el menor costo de RTT (Round Trip Time).
Usa costcomo su medida de métrica. Además, construye una base de datos enlace-estado
(link-statedatabase, LSDB) idéntica en todos los enrutadores de la zona.
Los enrutadores OSPF utilizan las LSA de los enrutadores contiguos para actualizaruna base de
datos de estado de conexiones.
El protocolo OSPF utiliza la base de datos de estado de conexiones para determinar cuál es la
mejor ruta a una red cualquiera dentro del sistema autónomo. Esto se consigue generando un
árbol de ruta más corta, que es una representación gráfica de la ruta más corta a una
determinada red dentro del sistema autónomo. Aunque todos los enrutadores tienen la misma
base de datos de estado de conexiones, sus árboles de ruta más corta son exclusivos, ya que
los enrutadores generan estos árboles situándose a sí mismos en su raíz.
Áreas
De forma predeterminada, OSPF se puede descomponer en regiones (áreas) más pequeñas.
Hay un área especial llamada área backbone(normalmente es el área 0.0.0.0). Sin embargo,
las redes de gran tamaño que se encuentran dispersas geográficamente se suelen segmentar
en múltiples áreas. A medida que la red se amplía, las bases de datos de estado de conexión
también crecen y se dividen en grupos más pequeños para mejorar su posibilidad de
ampliación. Si no es posible hacer una conexión directa con el backbone, se puede hacer un
enlace virtual entre redes.
Las áreas reducen el volumen de información de enrutamiento que pasa a través dela red, ya
que cada enrutador sólo tiene que actualizar la base de datos de estado del área a la que
pertenece. No necesita actualizar la información de estado de las redes o enrutadores que se
encuentran en otras áreas. Un enrutador conectado múltiples áreas mantiene una base de
estado de conexiones por cada área a la que está conectado. Las áreas deben estar conectadas
7
directamente al áreabackbone,excepto cuando crean una conexión virtual. Para obtener más
información sobre conexiones virtuales.
Las notificaciones externas de AS describen rutas a destinos en otros sistemas ASy se inundan
en todo un AS. Ciertas áreas OSPF se pueden configurar como áreas de rutas internas
(stubáreas); de este modo, las notificaciones externas de sistemas autónomos no inundarán
estas áreas. En OSPF se utilizan normalmente dos tiposde áreas habituales:
Área Backbone: También denominado área cero, forma el núcleo de una red OSPF. Es
la única área que debe estar presente en cualquier red OSPF, y mantiene conexión,
física o lógica, con todas las demás áreas en que esté particionada la red. La conexión
entre un área y el backbone se realiza mediante los ABR, que son responsables de la
gestión de las rutas no-internas del área (esto es, de las rutas entre el área y el resto
de la red).
Área stub: Es aquella que no recibe rutas externas. Las rutas externas se definen como
rutas que fueron inyectadas en OSPF desde otro protocolo de enrutamiento. Por lo
tanto, las rutas de segmento necesitan normalmente apoyarse en las rutas
predeterminadas para poder enviar tráfico a rutas fuera del segmento.
Área not-so-stubby: También conocidas como NSSA, constituyen un tipo de área stub
que puede importar rutas externas de sistemas autónomos y enviarlas al backbone,
pero no puede recibir rutas externas de sistemas autónomos desde el backbone u
otras áreas.
Clasificación de enrutadores
Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo con su
función o su posición en la red:
Enrutador interno: enrutador cuyas interfaces pertenecen a la misma área.
Enrutador de área troncal: enrutador con una interfaz en el área troncal.
Enrutador de límite de área: enrutador conectado a dos o más áreas. Este tipo de
enrutador resume las rutas desde distintas áreas para su distribución al área troncal.
En los dispositivos de seguridad con OSPF, el área troncal se crea de forma
predeterminada. Si se crea una segunda área en un enrutador virtual, el dispositivo
funcionará como enrutador de límite de área.
8
Enrutador de límite de sistema autónomo: cuando un área OSPF limita con otro
sistema autónomo, el enrutador situado entre los dos sistemas autónomos se
considera el enrutador de límite. Estos enrutadores se encargan de distribuir la
información de enrutamiento.
Protocolo de saludo
Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los enrutadores
utilizan el protocolo de saludo para establecer y mantener estas relaciones de vecindad.
Cuando dos enrutadores establecen comunicación bidireccional, se dice que han establecido
una adyacencia. Si dos enrutadores noestablecen una relación de adyacencia, no podrán
intercambiar información de enrutamiento.
Cuando hay múltiples enrutadores en una red, es necesario configurar un enrutador como
enrutador designado y otro como enrutador designado de respaldo. El enrutador designado es
responsable de inundar la red con LSA que contengan una lista de todos los enrutadores que
admitan OSPF incorporados a la red. El enrutador designado es el único que puede formar
adyacencias con otros enrutadores de la red. Así, el enrutador designado es el único de la red
que puede proporcionar información de enrutamiento al resto de enrutadores. El enrutador
designado de respaldo sustituye al enrutador designado en caso de que éste falle.
Tipos de redes
Juniper Networks, Inc. es un fabricante estadounidense de equipos de red fundada en 1996
por PradeepSindhu. Tiene su sede en Sunnyvale, California, EE.UU. La compañía diseña y vende
alto rendimiento de protocolo de Internet los productos y servicios de red. Los principales
productos de Juniper incluyen la serie T, serie M, serie E, MX-series y la serie J familias
de routers, EX-series switches Ethernet y productos de seguridad de la serie SRX. Junos, propia
de Juniper sistema operativo de red, se ejecuta en la mayoría de los productos de Juniper. Para
más información de Juniper Networks diríjase al anexo A.
Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de redes OSPF:
Redes de difusión
9
Una red de difusión (broadcast) es una red que interconecta varios enrutadores y que
puede enviar (o difundir) un único mensaje físico a todos los enrutadores conectados.
Ethernet es un ejemplo de red de difusión.En las redes de difusión, el enrutador OSPF
detecta dinámicamente los enrutadores vecinos enviando paquetes de saludo a la
dirección multidifusión 224.0.0.5. En las redes de difusión, el protocolo de saludo
decide cuál será el enrutador designado y el enrutador designado de respaldo para la
red.
Redes punto a punto
Una red punto a punto une dos enrutadores a través de una red de área extensa
(WAN). Un ejemplo de red punto a punto serían dos dispositivos de seguridad
conectados a través de un túnel VPN IPSec. En las redes punto a punto, el enrutador
OSPF detecta dinámicamente los enrutadores vecinos enviando paquetes de saludo a
la dirección multicast 224.0.0.5.
Redes punto a multipunto
Una red punto a multipunto es una red que no es de difusión en la que OSPF trátalas
conexiones entre enrutadores como vínculos punto a punto. Para la red no existe
ninguna elección de un enrutador designado ni de inundación LSA. Un enrutador en
una red punto a multipunto envía paquetes de saludo a todos los vecinos con quienes
pueda comunicarse directamente.
Notificaciones de estado de conexiones
Cada enrutador OSPF envía notificaciones de estado de conexiones (LSA) que definen la
información de estado local del enrutador. Además, hay otros tipos de LSA que un enrutador
envía, dependiendo de la función de OSPF del enrutador. La Tabla 5 detalla los tipos de LSA,
dónde se inunda cada tipo de LSA y el contenido década tipo de LSA.
Tabla 5: Resumen del contenido y tipos de LSA
10
Configuración básica de OSPF
En esta sección se describen los pasos básicos para configurar OSPF en un enrutador virtual
ubicado en un dispositivo de seguridad:
1. Crear y habilitar la instancia de enrutamiento OSPF en un enrutador virtual. En este paso
también se crea automáticamente un área troncal de OSPF, con unid de área de 0.0.0.0, que
no se podrá eliminar.
2. (Opcional) A menos que todas las interfaces OSPF se conecten al área troncal, tendrá que
configurar una nueva área OSPF con su propia ID de área. Por ejemplo, si el dispositivo de
seguridad va a funcionar como enrutador de límite de área, tendrá que crear otra área OSPF
además del área troncal. La nueva área que se cree podrá ser normal, de rutas internas o no
exclusiva de rutas internas.
3. Asignar una o varias interfaces a cada área OSPF. Las interfaces se deben agregar a un área
OSPF explícitamente, incluyendo el área troncal.
4. Habilitar OSPF en cada interfaz.
5. Comprobar que el protocolo OSPF está configurado correctamente y funciona.
En este ejemplo configuraremos el dispositivo de seguridad como enrutador delimite de área
conectándolo al área 0 a través de la interfaz ethernet3 y al área 10a través de ethernet1.
Consulte la Figura 10.
11
Opcionalmente también es posible configurar otros parámetros de OSPF revisar el
apéndice B.
Creación y eliminación de una instancia de enrutamiento OSPF
Es posible crear y habilitar una instancia de enrutamiento OSPF en un VR específico ubicado en
un dispositivo de seguridad. Para eliminar una instancia de enrutamiento OSPF, desactive la
instancia OSPF y luego elimínela. Al crear la instancia de enrutamiento OSPF se crea
automáticamente el área troncal OSPF. Si crea y habilita una instancia de enrutamiento OSPF
en un enrutador virtual, OSPF podrá transmitir y recibir paquetes en todas las interfaces
habilitadas para OSPF del enrutador.
Creación de una instancia de OSPF
En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador trust-vr. A
continuación creará una instancia de enrutamiento OSPF en él.
WebUI
1. ID de enrutador
Network >Routing> Virtual Router (trust-vr) >Edit: Introduzca los siguientes datos y
haga clic en OK:
- Virtual Router ID: Custom (seleccione)
- En el cuadro de texto, introduzca 0.0.0.10
2. Instancia de enrutamiento OSPF
Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instance:
Seleccione OSPF Enabled, luego haga clic en OK.
CLI
1. ID de enrutador
setvrouter trust-vr router-id 10
2. Instancia de enrutamiento OSPF
setvrouter trust-vr protocol ospf
setvrouter trust-vr protocol ospf enable
sabe
12
En la línea de comandos CLI, tendrá que crear la instancia de enrutamiento OSPF antes de
poder habilitarla. Por lo tanto, tendrá que ejecutar dos comandos CLI para habilitar una
instancia de enrutamiento OSPF.
Eliminación de una instancia de OSPF
En este ejemplo inhabilitará la instancia de enrutamiento OSPF en el enrutador virtual trust-
vr. OSPF dejará de transmitir y procesar paquetes OSPF en todas las interfaces habilitadas
para OSPF en el enrutador trust-vr.
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:
Desactive OSPF Enabled, luego haga clic en OK.
Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF
Instante, luego haga clic en OK en el mensaje de confirmación.
CLI
unsetvrouter trust-vr protocol ospf
deleting OSPF instance, are you sure? y/[n]
sabe
Creación y eliminación de un área OSPF
Las áreas reducen el volumen de información de enrutamiento que tiene que pasar por la
red, ya que los enrutadores OSPF sólo actualizan la base de datos de estado de conexiones
del área a la que pertenecen. No necesitan actualizar la información de estado de las redes o
enrutadores que se encuentran en otras áreas.
Todas las zonas deben conectarse a la zona 0, que se crea al configurar una instancia de
enrutamiento OSPF en el enrutador virtual. Si es necesario crear un área OSPF adicional,
también es posible definirla como área de rutas internas área no exclusiva de rutas internas.
Si desea más información sobre estos tipos de áreas, consulte “Áreas” en la página 48.
La Tabla 6 detalla los parámetros de área, con descripciones de cada parámetro, e indica el
valor predeterminado de cada uno de éstos.
Tabla 6: Parámetros de áreas de OSPF y sus valores predeterminados
13
Creación de un área OSPF
En el siguiente ejemplo creará un área OSPF con la ID de area 10.
WebUI
Network > Routing > Virtual Routers >Edit (trust-vr) > Edit OSPF Instance> Area: Introduzca
los siguientesdatos y hagaclic en OK:
Area ID: 10
Type: normal (seleccione)
Action: Add
CLI
setvrouter trust-vr protocol ospf area 10
sabe
Eliminación de un área OSPF
Antes de que pueda eliminar un área de OSPF, debe desactivar el proceso de OSPF
para VR. En el siguiente ejemplo, detenga el proceso de OSPF y luego elimine un
área de OSPF con una ID de área de 10.
WebUI
Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:
Elimine la selección OSPF Enabled, luego haga clic en OK.
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance
>Area: Haga clic en Remove.
CLI
unsetvrouter trust-vr protocol ospf enable
unsetvrouter trust-vr protocol ospf area 0.0.0.10
save
14
Asignación de interfaces a un área OSPF
Asignación de interfaces a un área OSPF
Es posible asignarle una o varias interfaces, ya sea utilizando la WebUI o el comando CLI set
interface.
Asignación de interfaces a áreas:
En el siguiente ejemplo asignará la interfaz ethernet1 al área OSPF 10 y la interfaz ethernet3
al área OSPF 0.
WebUI
Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area > Configure
(Area 10): Utilize el botón Add para mover la interfaz ethernet1 de la columna Available
Interface(s) a la columna Selected Interfaces. Haga clic en OK.
Network > Routing > Virtual Routers >Edit (para trust-vr) > Edit OSPF Instance > Area >
Configure (Area 0): Utilice el botón Add para mover la interfaz ethernet3 de la columna
Available Interface(s) a la columna Selected Interfaces. Hagaclic en OK.
CLI
set interface ethernet1 protocol ospf area 10
set interface ethernet3 protocol ospf area 0
sabe
Configuración de un rango de áreas
Al configurar un rango de áreas, deberá especificar si desea notificar o retener el rango de
áreas definido en las notificaciones.
En el siguiente ejemplo definirá los siguientes rangos de áreas para el área 10:
• 10.1.1.0/24, se notificará.
• 10.1.2.0/24, no se notificará.
WebUI
15
Network >Routing> Virtual Routers>Edit (para trust-vr) >Edit OSPF Instance>Area> Configure
(0.0.0.10): Introduzca los siguientes datos en la sección AreaRange y haga clic en Add:
IP/Netmask: 10.1.1.0/24
Type: (seleccione) Advertise
Introduzca los siguientes datos en la sección Área Range y haga clic en Add:
IP/Netmask: 10.1.2.0/24
Type: (seleccione) No Advertise
CLI
setvrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise
setvrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise
sabe
Habilitación de OSPF en interfaces
De forma predeterminada, el protocolo OSPF está inhabilitado en todas las interfaces del
enrutador virtual (VR). Este protocolo se debe habilitar explícitamente en una interfaz antes
de poder asignarla a un área. Si se desactiva OSPF en una interfaz, dejará de transmitir o
recibir paquetes en esa interfaz, pero sus parámetros de configuración se conservarán.
WebUI
Network > Interfaces >Edit (para ethernet1) > OSPF: Seleccione Enable Protocol OSPF,
luegohagaclic en Apply. Network > Interfaces >Edit (para ethernet3) > OSPF: Seleccione
Enable
Protocol OSPF, luego haga clic en Apply.
CLI
set interface ethernet1 protocol ospf enable
set interface ethernet3 protocol ospf enable
save
16
Verificación de la configuración
Puede ver la configuración introducida para trust-vr ejecutando el siguiente comando CLI:
device-> get vrouter trust-vr protocol ospfconfig
VR: trust-vrRouterId: 10.1.1.250
----------------------------------
set protocol ospf
set enable
set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise
set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise
set interface ethernet1 protocol ospf area 0.0.0.10
set interface ethernet1 protocol ospf enable
set interface ethernet3 protocol ospf area 0.0.0.0
set interface ethernet3 protocol ospf enable
Redistribución de rutas en protocolos de enrutamiento
La redistribución de rutas es el intercambio de información sobre rutas entre protocolos de
enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la
instancia de enrutamiento OSPF de un mismo enrutador virtual:
• Rutas reconocidas por BGP o RIP
• Rutas conectadas directamente
• Rutas importadas
• Rutas configuradas estáticamente
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance>Redistributable Rules: Introduzca los siguientes datos y haga clic
en Add:
Route Map: add-bgp
Protocol: BGP
CLI
setvrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp
save
17
Resumen de rutas redistribuidas
En las grandes redes, donde pueden coexistir miles de direcciones de red, algunos
enrutadores podrían llegar a congestionarse por la gran cantidad de información de ruta. Si
ya redistribuyó rutas de un protocolo externo en la instancia de enrutamiento OSPF actual,
podrá reunir las rutas en una ruta de red general o resumida. Al resumir múltiples
direcciones, hará que un grupo de rutas se reconozcan como una sola, simplificando así el
proceso de consulta. Una de las ventajas de crear resúmenes de rutas en redes grandes y
complejas es que se pueden aislar los cambios topológicos de otros enrutadores.
En este ejemplo redistribuirá las rutas BGP a la instancia de enrutamiento OSPF actual. A
continuación resumirá el conjunto de rutas importadas en la dirección de red 2.1.1.0/24.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance>Redistributable Rules: Introduzca los siguientes datos y haga clic
en Add:
Route Map: add-bgp
Protocol: BGP
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance>SummaryImport: Introduzca los siguientes datos y haga clic
en Add:
IP/Netmask: 2.1.1.0/24
CLI
setvrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp
setvrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24
sabe
Parámetros globales de OSPF
En esta sección se describen parámetros globales de OSPF que se pueden configurar de
forma opcional en un enrutador virtual (VR). Cuando se configura un parámetro OSPF en el
18
nivel de enrutador virtual, los datos de configuración afectarán a las operaciones de todas
las interfaces que tengan habilitado el protocolo OSPF. Es posible modificar los valores de los
parámetros globales del protocolo de enrutamiento OSPF por medio de las interfaces CLI y
WebUI.
La Tabla 7 detalla los parámetros globales de OSPF y sus valores predeterminados.
Parámetros globales de OSPF
Descripción
Valor predeterminado
Advertise default
route
Especifica que una ruta predeterminada activa
(0.0.0.0/0) en la tabla de rutas del enrutador virtual se notifica en todas las áreas OSPF. También es
posible especificar el valor de métrica o si la
métrica original de la ruta se preservará, así como el tipo de métrica (ASE tipo 1 o tipo 2). También se
puede especificar que la ruta predeterminada
siempre se notifique.
La ruta
predeterminada no se notifica
Reject default rote Especifica que cualquier ruta predeterminada reconocida en OSPF no se agregará a la tabla de
rutas.
La ruta predeterminada
reconocida en
OSPF se agrega a la tabla de rutas
Automatic virtual link
Especifica que el VR creará una conexión virtual automáticamente si no puede acceder al área troncal
de OSPF
Desactivado
Maximumhello packets
Especifica el número máximo de paquetes de saludo OSPF que el VR puede recibir en un
intervalo desaludo.
10
Maximum LSA
packets
Especifica el número máximo de paquetes LSA de
OSPF que el VR puede recibir dentro del intervalo en segundos especificado
No hay valor
predeterminado
RFC 1583
compatibility
Especifica que la instancia de enrutamiento OSPF
es compatible con la norma RFC 1583, una versión
anterior de OSPF.
OSPF versión 2,
tal y como se
define en RFC 2328.
Enrutamiento
multidireccional de
igual coste (ECMP)
Especifica el número máximo de rutas (1-4) a
utilizar para equilibrar cargas con los destinos que
tengan múltiples rutas de igual coste. Consulte la “Configuración del enrutamiento multidireccional
de igual coste” en la página 36.
Disabled (1).
Virtual link
configuration
Configura el área OSPF y la ID de enrutador para la
conexión virtual. De forma opcional también puede
configurar el método de autenticación, el intervalo de saludo y el de retransmisión, el retardo de
transmisión o el intervalo de interlocutor muerto
para la conexión virtual.
No hay conexión
Virtual
configurada.
19
Notificación de la ruta predeterminada
La ruta predeterminada, 0.0.0.0/0, coincide con cada red de destino en una tabla de rutas,
aunque un prefijo más específico anulará la ruta predeterminada. En este ejemplo, usted
anunciará la ruta predeterminada de la instancia de enrutamiento OSPF actual.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione Advertising Default Route Enable, luegohagaclic en OK.
CLI
setvrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1
sabe
Conexiones virtuales
Aunque todas las áreas deben estar conectadas directamente al área troncal, algunas veces
debe crear un área nueva que no se puede conectar físicamente al área troncal. Para
resolver este problema se puede configurar una conexión virtual. Una conexión virtual
proporciona un área remota con una ruta lógica al área troncal a través de otra área. En los
enrutadores, la conexión virtual se debe configurar en los dos extremos de la conexión. Para
configurar una conexión virtual en el dispositivo de seguridad, debe definir:
• La ID del área OSPF que va a cruzar la conexión virtual. No es posible crear una
conexión virtual que cruce el área troncal o un área de rutas internas.
• La ID del enrutador al otro extremo de la conexión virtual.
La Tabla 8 detalla los parámetros opcionales para las conexiones virtuales.
Parámetro de
conexión
virtual
Descripción Valor
predeterminado
Authentication Especifica la autenticación por contraseña de texto
no encriptado o la autenticación MD5.
Sin autenticación
20
Deadinterval Especifica el intervalo en segundos en que no se
producirá respuesta desde un dispositivo OSPF
vecino antes de que se determine que éste no funciona
40 segundos
Hellointerval Especifica el tiempo en segundos entre dos saludos
OSPF.
10 segundos
Retransmit
interval
Especifica el tiempo en segundos que transcurrirá
antes de que la interfaz reenvíe una LSA a un vecino que no respondió a la primera LSA.
5 segundos
Transmitdelay Especifica el tiempo en segundos entre las
transmisiones de paquetes de actualización de
estado de conexión enviados a una interfaz.
1 segundo
Creación de una conexión virtual
En el siguiente ejemplo creará una conexión virtual a través del área OSPF 10 desde el
dispositivo-A con ID de enrutador 10.10.1.250 al dispositivo-B con la ID de enrutador
10.1.1.250. Consulte “Enrutamiento” en la página 13 para obtener más información sobre la
configuración de ID de enrutadores en los dispositivos de seguridad). También puede
configurar la conexión virtual con un retardo de tránsito de 10 segundos. En cada dispositivo
de seguridad, tendrá que identificar la ID de enrutador del dispositivo en el otro extremo de
la conexión virtual.
WebUI (dispositivo-A)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance> Virtual Link: Introduzca los siguientes datos y haga clic en Add:
Area ID: 10 (seleccione)
Router ID: 10.1.1.250
> Configure: En el campo TransmitDelay, escriba 10 y haga clic en OK.
CLI (dispositivo-A)
setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.1.1.250
setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.1.1.250 transit-delay
10
Save
21
WebUI (dispositivo-B)
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance> Virtual Link: Introduzca los siguientes datos y haga clic en Add:
Area ID: 10
Router ID: 10.10.1.250
> Configure: En el campo TransmitDelay, escriba 10 y haga clic en OK.
CLI (dispositivo-B)
setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.10.1.250
setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.10.1.250
transit-delay 10
save
Creación de una conexión virtual automática
Puede hacer que un enrutador virtual (VR) cree automáticamente una conexión virtual para
las instancias en las que no sea posible acceder al área troncal de la red. Si el enrutador
virtual crea conexiones virtuales automáticamente se ahorrará el tiempo necesario para
crear cada una de las conexiones virtuales de forma manual.
En el siguiente ejemplo configuraremos la creación automática de conexiones virtuales.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione AutomaticallyGenerate Virtual Links, luego haga clic
en OK.
CLI
setvrouter trust-vr protocol ospf auto-vlink
save
22
Ajuste de parámetros OSPF de interfaz
En esta sección se describen los parámetros OSPF que se pueden configurar en el nivel de
interfaz. Cuando se configura un parámetro OSPF en el nivel de interfaz, los datos de
configuración afectan únicamente al funcionamiento OSPF de la interfaz especificada. Puede
modificar los ajustes de los parámetros de la interfaz mediante comandos de interfaz en la
CLI o utilizando la WebUI.
La Tabla 2 detalla los parámetros opcionales de interfaz de OSPF y sus valores
predeterminados.
Tabla 2: Parámetros opcionales de interfaz de OSPF y sus valores predeterminados
En el siguiente ejemplo, configuramos los siguientes parámetros OSPF para la interfaz
ethernet1:
23
1. Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundos.
2. Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos.
3. Aumentar el intervalo entre las transmisiones de LSA a 2 segundos.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego
haga clic en Apply:
Hello Interval: 15
Retransmit Interval: 7
Transit Delay: 2
CLI
set interface ethernet1 protocol ospf hello-interval 15
set interface ethernet1 protocol ospf retransmit-interval 7
set interface ethernet1 protocol ospf transit-delay 2
sabe
Configuración de seguridad
Autenticación de vecinos
Un enrutador OSPF se puede suplantar fácilmente, ya que las LSA no se encriptan y la
mayoría de los analizadores de protocolo permiten desencapsular paquetes OSPF. La mejor
forma de acabar con el riesgo de este tipo de ataques será autenticando los vecinos OSPF.
OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos:
porautenticación de contraseña simple y por autenticación MD5. Todos los paquetes OSPF
recibidos en la interfaz que no se autentiquen se descartarán. De forma predeterminada,
ninguna interfaz OSPF tiene la autenticación habilitada.
Para la autenticación MD5 se necesita la misma clave utilizada para los enrutadores OSPF
de envío y recepción. Puede especificar más de una clave MD5 en el dispositivo de
seguridad, cada una de las cuales tendrá su propia clave. Si configura varias claves MD5 en
el dispositivo de seguridad, podrá seleccionar un identificador para la clave que se utilizará
para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible
cambiar periódicamente las claves MD5 por parejas de enrutadores minimizando el riesgo
de que algún paquete se descarte.
Relación con los vecinos en OSPF
24
Cada encaminador OSPF realiza un seguimiento de sus nodos vecinos, estableciendo
distintos tipos de relación con ellos. Respecto a un encaminador dado, sus vecinos pueden
encontrarse en siete estados diferentes.
Estados de OSPF:
Desactivado (DOWN). En el estado desactivado, el proceso OSPF no ha intercambiado
información con ningún vecino. OSPF se encuentra a la espera de pasar al siguiente
estado (Estado de Inicialización)
Inicialización (INIT). Los routers (enrutadores) OSPF envían paquetes tipo 1, o
paquetes Hello, a intervalos regulares con el fin de establecer una relación con los
Routers vecinos. Cuando una interfaz recibe su primer paquete Hello, el router entra al
estado de Inicialización. Esto significa que este sabe que existe un vecino a la espera de
llevar la relación a la siguiente etapa. Los dos tipos de relaciones son Bidireccional y
Adyacencia. Un routerdebe recibir un paquete Hello (Hola) desde un vecino antes de
establecer algún tipo de relación.
Bidireccional (TWO-WAY). (encaminador = enrutador). Empleando paquetes Hello,
cada enrutador OSPF intenta establecer el estado de comunicación bidireccional (dos-
vías) con cada enrutador vecino en la misma red IP. Entre otras cosas, el paquete Hello
incluye una lista de los vecinos OSPF conocidos por el origen. Un enrutador ingresa al
estado Bidireccional cuando se ve a sí mismo en un paquete Hello proveniente de un
vecino. El estado Bidireccional es la relación más básica que vecinos OSPF pueden
tener, pero la información de encaminamiento no es compartida entre estos. Para
aprender los estados de enlace de otros enrutadores y eventualmente construir una
tabla de enrutamiento, cada enrutador OSPF debe formar a lo menos una adyacencia.
Una adyacencia es una relación avanzada entre enrutadores OSPF que involucra una
serie de estados progresivos basados no solo en los paquetes Hello, sino también en el
intercambio de otros 4 tipos de paquetes OSPF. Aquellos encaminadores intentando
volverse adyacentes entre ellos intercambian información de encaminamiento incluso
antes de que la adyacencia sea completamente establecida. El primer paso hacia la
adyacencia es el estado ExStart.
Inicio de Intercambio (EXSTART). Técnicamente, cuando un encaminador y su vecino
entran al estado ExStart, su conversación es similar a aquella en el estado de
Adyacencia. ExStart se establece empleando descripciones de base de datos tipo 2
(paquetes DBD), también conocidos como DDPs. Los dos encaminadores vecinos
emplean paquetes Hello para negociar quien es el "maestro" y quien es el "esclavo" en
su relación y emplean DBD para intercambiar bases de datos. Aquel encaminador con
el mayor router ID "gana" y se convierte en el maestro. Cuando los vecinos establecen
sus roles como maestro y esclavo entran al estado de Intercambio y comienzan a
enviar información de encaminamiento.
Intercambio (EXCHANGE). En el estado de intercambio, los encaminadores vecinos
emplean paquetes DBD tipo 2 para enviarse entre ellos su información de estado de
enlace. En otras palabras, los encaminadores se describen sus bases de datos de
estado de enlace entre ellos. Los encaminadores comparan lo que han aprendido con
lo que ya tenían en su base de datos de estado de enlace. Si alguno de los
encaminadores recibe información acerca de un enlace que no se encuentra en su
25
base de datos, este envía una solicitud de actualización completa a su vecino.
Información completa de encaminamiento es intercambiada en el estado Cargando.
Cargando (LOADING). Después de que las bases de datos han sido completamente
descritas entre vecinos, estos pueden requerir información más completa empleando
paquetes tipo 3, requerimientos de estado de enlace (LSR). Cuando un enrutador
recibe un LSR este responde empleando un paquete de actualización de estado de
enlace tipo 4 (LSU). Estos paquetes tipo 4 contienen las publicaciones de estado de
enlace (LSA) que son el corazón de los protocolos de estado de enlace. Los LSU tipo 4
son confirmados empleando paquetes tipo 5 conocidos como confirmaciones de
estado de enlace (LSAcks).
Adyacencia completa (FULL). Cuando el estado de carga ha sido completada, los
enrutadores se vuelven completamente adyacentes. Cada enrutador mantiene una
lista de vecinos adyacentes, llamada base de datos de adyacencia.
Configuración de una contraseña de texto no cifrado
En este ejemplo, crearemos la contraseña de texto no encriptado 12345678 para
OSPF en la interfaz ethernet1.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego
haga clic en Apply:
Password: (seleccione), 12345678
CLI
set interface ethernet1 protocol ospf authentication password 12345678
save
Configuración de una contraseña MD5
En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 y
seleccionará una de ellas para que sea la clave activa. Cada clave MD5 puede tener 16
caracteres. El número identificador de clave debe estar entre 0 y 255. El identificador de
clave predeterminado es 0, de manera que no es necesario especificar el identificador de
clave para la primera clave MD5 que introduzca.
WebUI
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego
haga clic en Apply:
26
Authentication:
MD5 Keys: (seleccione)
1234567890123456
9876543210987654
Key ID: 1
Preferred: (seleccione)
CLI
set interface ethernet1 protocol ospf authentication md5 1234567890123456
set interface ethernet1 protocol ospf authentication md5 9876543210987654
key-id 1
set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1
save
Configuración de una lista de vecinos de OSPF
Los entornos de acceso múltiple permiten que los dispositivos, incluyendo los enrutadores,
se puedan conectar a una red de forma relativamente sencilla. Esto puede provocar
problemas de estabilidad o rendimiento si el dispositivo conectado no es fiable.
De forma predeterminada, la instancia de enrutamiento OSPF en el enrutador virtual (VR)
ScreenOS forma adyacencias con todos los vecinos OSPF que secomunican en una interfaz
con OSPF. Es posible limitar los dispositivos de una interfaz que pueden formar
adyacencias con la instancia de enrutamiento OSPF definiendo una lista de subredes que
contengan vecinos OSPF que se puedan elegir.
Sólo los hosts o enrutadores que se encuentren en las subredes definidas podrán formar
adyacencias con la instancia de enrutamiento OSPF. Para especificar las subredes que
contienenvecinos OSPF válidos, se debe definir una lista de acceso a las subredes en el
nivel del enrutador virtual (VR).
En este ejemplo configuraremos una lista de acceso que permitirá la comunicación con los
hosts de la subred 10.10.10.130/27. A continuación especificaremos la lista de acceso para
que configure vecinos OSPF válidos.
WebUI
Network > Routing > Virtual Router (trust-vr) > Access List > New:
27
Introduzca los siguientes datos y haga clic en OK:
Access List ID: 4
Sequence No.: 10
IP/Netmask: 10.10.10.130/27
Action: Permit (seleccione)
Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego
haga clic en Apply:
Neighbor List: 4
CLI
set vrouter trust-vr access-list 4
set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10
set interface ethernet1 protocol ospf neighbor-list 4
save
Rechazo de rutas predeterminadas
En los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada
(0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desvíen a él. El
enrutador puede descartar los paquetes, causando una interrupción en el servicio, o
puede entregar información crítica a los paquetes antes de reenviarlos. En los dispositivos
de seguridad de Juniper Networks, OSPF acepta en principio cualquier ruta
predeterminada reconocida en OSPF y agrega la ruta predeterminada a la tabla de rutas.
En el siguiente ejemplo especificaremos que una ruta predeterminada no se reconozca en
OSPF.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Seleccione la casilla de verificación Do Not Add Default-route
Learned in OSPF, luego haga clic en OK.
CLI
set vrouter trust-vr protocol ospf reject-default-route
sabe
Protección contra inundaciones
28
Un enrutador peligroso o que no funcione correctamente puede inundar a sus vecinos con
paquetes de saludo OSPF o con LSA. Cada enrutador capta la información de las LSA
enviadas por otros enrutadores en la red para recuperar la información de rutas para la
tabla de enrutamiento. La protección contra inundaciones de LSA permite determinar el
número de LSA que entrarán enel enrutador virtual (VR). Si éste recibe demasiadas LSA, el
enrutador fallará por una inundación LSA. Los ataques por LSA se producen cuando un
enrutador genera un número excesivo de LSA en un periodo corto de tiempo, puesto que
hace que los demás enrutadores OSPF de la red se mantengan ocupados ejecutando el
algoritmo SPF.
En los enrutadores virtuales que utilizan ScreenOS, es posible configurar el número
máximo de paquetes de saludo por intervalo de saludo y el número máximo de LSA que
recibirá una interfaz OSPF durante un intervalo determinado. Los paquetes que excedan el
límite configurado se descartarán. De forma predeterminada, el límite de paquetes de
saludo OSPF es de 10 paquetes por intervalo de saludo (el intervalo de saludo
predeterminado para una interfaz OSPF es de 10 segundos). No hay ningún límite de LSA
predefinido; si no impone un límite de LSA, se aceptarán todas.
Configuración de un umbral de saludo
En el siguiente ejemplo configuraremos un umbral de 20 paquetes por intervalo de saludo.
Este intervalo, que se puede configurar independientemente en cada interfaz OSPF, no
variará; seguirá ajustado a 10 segundos.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
Instance: Introduzca los siguientes datos y haga clic en OK:
Prevent Hello Packet Flooding Attack: On
Max Hello Packet: 20
CLI
set vrouter trust-vr protocol ospf hello-threshold 20
save
Configuración de un umbral de LSA
En este ejemplo estableceremos un límite OSPF de 10 paquetes LSA cada 20 segundos para
evitar ataques por inundación de LSA.
WebUI
Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF
29
Instance: Introduzca los siguientes datos y haga clic en OK:
LSA Packet Threshold Time: 20
Maximum LSAs: 10
CLI
set vrouter trust-vr protocol ospf lsa-threshold 20 10
save
Habilitación de la inundación reducida
Puede habilitar la característica de reducción de inundaciones para suprimir la inundación
LSA en las interfaces de punto a punto, como serie, de túnel o línea asíncrona de abonado
digital (ADSL), o interfaces de difusión, como las interfaces de Ethernet. En el ejemplo
siguiente, habilitará la supresión periódica de LSA sin afectar al flujo de paquetes de saludo
hacia la interfaz tunnel.1.
WebUI
Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes
datos, luego haga clic en Apply:
Reduce Flooding: (seleccione)
CLI
set interface tunnel.1 protocol ospf reduce-flooding
save
Creación de un circuito de demanda OSPF en una interfaz de túnel
Los circuitos de demanda de OSPF, según lo definido en la norma RFC 1793, son segmentos
de red en los que el tiempo de conexión o de utilización afecta al coste de uso de dichas
conexiones. En un circuito de demanda, el tráfico generado por OSPF necesita limitarse a
los cambios en la topología de la red. En los dispositivos de seguridad de Juniper Networks,
únicamente las interfaces de punto a punto, como las interfaces serie, de túnel o de línea
asíncrona de abonado digital (ADSL), pueden ser circuitos de demanda, y para que
funcionen adecuadamente, ambos extremos del túnel se deben configurar manualmente
como circuitos de demanda.
En interfaces de túnel configuradas como circuitos de demanda, el dispositivo de seguridad
suprime el envío de paquetes de saludo OSPF y la actualización periódica de inundaciones
LSA para disminuir la sobrecarga. Cuando el vecino OSPF alcanza el estado completo “Full”
(los saludos “Hello”coinciden y los LSA del enrutador y de la red reflejan a todos los vecinos
adyacentes), el dispositivo de seguridad suprime los paquetes de saludo periódicos y el LSA
30
se actualiza. El dispositivo de seguridad inunda solamente LSA cuyo contenido haya
cambiado.
WebUI
Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos, luego
haga clic en Apply:
Demand Circuit: (seleccione)
CLI
set interface tunnel.1 protocol ospf demand-circuit
save
Interfaz de túnel punto a multipunto
Al asociar una interfaz de túnel a una zona OSPF en un dispositivo de seguridad, de forma
predeterminada se crea un túnel OSPF punto a punto. La interfaz de túnel punto a punto
puede formar una adyacencia con solamente un enrutador OSPF en el extremo remoto. Si
la interfaz de túnel local va a ser asociada a múltiples túneles, debe configurar la interfaz de
túnel local como interfaz punto a multipunto e inhabilitar la característica route-deny en la
interfaz de túnel.
Establecer el tipo de conexión OSPF
Si se propone formar adyacencias OSPF en múltiples túneles, necesitará establecer el tipo
de conexión como punto a multipunto (p2mp).
En el siguiente ejemplo establecerá el tipo de conexión de tunnel.1 en punto a multipunto
(p2mp) para cumplir con los requisitos de su red.
WebUI
Network > Interface > Edit > OSPF: Seleccione Point-to-Multipoint de la lista
de botones de opción “Link Type”.
CLI
set interface tunnel.1 protocol ospf link-type p2mp
save
Inhabilitación de la restricción Route-Deny
De forma predeterminada, el dispositivo de seguridad puede enviar y recibir paquetes a
través de la misma interfaz a menos que esté configurado explícitamente para no enviarlos
y recibirlos en la misma interfaz. En un entorno punto a multipunto, este comportamiento
31
puede ser deseable. Para configurar el dispositivo de seguridad para enviar y recibir en la
misma interfaz, debe inhabilitar la restricción route-deny. En este ejemplo inhabilitará la
restricción route-deny mediante CLI en la interfaz de túnel punto a multipunto tunnel.1.
Creación de una red punto a multipunto
La Figura 12 muestra una empresa de tamaño mediano con su oficina central (OC) en San
Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York.
Cada oficina tiene un solo dispositivo de seguridad.
Los siguientes son los requisitos de configuración específicos del dispositivo de seguridad
en la OC:
1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a
continuación, configurar la interfaz tunnel.1.
2. Configurar las cuatro VPN y asociarlas a la interfaz tunnel.1.
Los siguientes son los requisitos de configuración propios de los dispositivos de seguridad
remotos:
1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a
continuación, configurar la interfaz tunnel.1.
2. Configurar la VPN y asociarla a la interfaz tunnel.1.
Los valores de temporizadores para todos los dispositivos deben coincidir para quelas
adyacencias puedan formarse. La Figura 1 muestra el escenario descrito de lared.
Figura1: se originan cuatro VPN en el dispositivo de seguridad de San
Francisco e irradian hacia las oficinas remotas en Nueva York. Los Ángeles.
Montreal y Chicago.
32
En este ejemplo, configurará los siguientes ajustes en el dispositivo de seguridad de la
oficina central OC:
1. Interfaces y zona de seguridad
2. VPN
3. Rutas y OSPF
Para completar la configuración de la red, configurará los siguientes ajustes en cada uno de
los cuatro dispositivos de seguridad de las oficinas remotas:
1. Interfaz y OSPF
2. VPN
3. Directiva
33
CONCLUSIONES
Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de redes OSPF
Redes de difusión, Redes punto a punto y Redes punto a multipunto.
OSPF es una solución de enrutamiento escalable para lacada vez mayor de las redes IP
actuales. Su topología compleja y descriptiva la publicidad y el concepto de áreas de
encaminamiento jerárquicos satisfacen la demandas de la red más diversificada diseños.
Convergencia rápida y el solidez de la base de datos de estado de enlace intercambios son las
principales características de OSPF redes. También es importante OSPF la mejora del diseño de
seguridad de red. Contadas las características y capacidades mejoradas de redes OSPF, una
prueba adecuada metodología es esencial para ayudar a la red OSPF es una solución de
enrutamiento escalable para lacada vez mayor de las redes IP actuales. Su topología compleja
y descriptiva la publicidad y el concepto de áreas de encaminamiento jerárquicos satisfacen la
demandas de la red más diversificada diseños. Convergencia rápida y la solidez de la base de
datos de estado de enlace Intercambios son las principales características de OSPF redes.
También es importante OSPF la mejora del diseño de seguridad de red. Contadas las
características y capacidades mejoradas de redes OSPF, una prueba adecuada metodología es
esencial para ayudar a la red Como ya vimos OSPF es un modelo que esta mejorado porque
como va pasando el tiempo van implementando otros modelos más mejorados que este, pero
en este caso en los conocimientos lo implementamos en la práctica.
En comparación con RIP v1 y v2, OSPF es el IGP preferido porque es escalable. RIP se limita a
15 saltos, converge lentamente y a veces elige rutas lentas porque pasa por alto ciertos
factores críticos como por ejemplo el ancho de banda a la hora de determinar la ruta. OSPF ha
superado estas limitaciones y se ha convertido en un protocolo de enrutamiento sólido y
escalable adecuado para las redes modernas. OSPF se puede usar y configurar en una sola área
en las redes pequeñas.
OSPF demuestra ser un protocolo mas optimo para redes grandes, brinda mayor seguridad,
además de ser un protocolo de estado de enlace, que a diferencia de RIP que es un protocolo
vector distancia, resulta más efectivo en la comunicacion con los routers dentro de una red
amplia, la seguridad de las tablas de enrutamiento es esencial en una red, OSPF cubre las
necesidades de una red amplia y esta solo se limitara por los saltos permitidos por internet y
34
no por el mismo protocolo, comunicándose solamente con los routers vecinos, el
inconveniente de este protocolo es que puede resultar lento, debido a los saltos, y por ser un
protocolo utilizado para redes amplias.
35
ANEXOS
36
A continuación se muestra una relación de fuentes de apreciaciones de donde fue recopilada la información en mención en esta monografía.
Apéndice A: Página de Juniper Networks:
http://www.juniper.net
37
Apéndice B: Configuración de OSPF:
http://www.redes-linux.com/manuales/routing/PIAM-Lab-4-OSPF-1.pdf
http://nahum8a.wordpress.com/2009/06/17/practica-7-ospf/
38
Apéndice C:
Comandos de configuración de la red de San Francisco
WebUI (dispositivo de la oficina central)
1. Interfaces y zona de seguridad
Network > Interfaces > Haga clic en New Tunnel IF y continúe en la páginade configuración.
Network > Interfaces > Edit (para ethernet3) y configure la zona y la direcciónIP.
Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione
Point-to-Multipoint de la lista de botones de opción “Link Type”.
2. VPN
VPNs > AutoKey Advanced > Gateway
3. Rutas y OSPF
Network > Routing > Virtual Routers > Haga clic en Edit para el enrutadorvirtual y configure
los parámetros de OSPF.
CLI (dispositivo de la oficina central)
1. Interfaces y zona de seguridad
set interface ethernet3 zone untrust
set interface ethernet3 ip 1.1.1.1/24
set interface tunnel.1 zone untrust
set interface tunnel.1 ip 10.10.10.1/24
2. VPN
set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshareospfp2mp
proposal pre-g2-3des-sha
set ike gateway gw2 address 3.3.3.3 main outgoing-interface ethernet3 preshareospfp2mp
proposal pre-g2-3des-sha
set ike gateway gw3 address 4.4.4.4 main outgoing-interface ethernet3 preshareospfp2mp
proposal pre-g2-3des-sha
39
set ike gateway gw4 address 5.5.5.5 main outgoing-interface ethernet3 preshareospfp2mp
proposal pre-g2-3des-sha
set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn1 monitor rekey
set vpn1 id 1 bind interface tunnel.1
set vpn vpn2 gateway gw2 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn2 monitor rekey
set vpn2 id 2 bind interface tunnel.1
set vpn vpn3 gateway gw3 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn3 monitor rekey
set vpn3 id 3 bind interface tunnel.1
set vpn vpn4 gateway gw4 no-replay tunnel idletime 0 proposal g2-esp-3des-sha
set vpn vpn4 monitor rekey
set vpn4 id 4 bind interface tunnel.1
40
Apéndice D:
Links de interés:
http://www.cisco.com/warp/public/104/1.html
http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/ospf.html
http://www.freesoft.org/CIE/Topics/89.html
http://www.faqs.org/rfcs/rfc1583.html
41
BIBLIOGRAFIA
“Conceptos y ejemplosManual de referencia de ScreenOS”Volumen 7, Versión 6
“Redes de Computadores: un enfoque descendente basado enInternet”. J.J.
Kurose y K.W. Ross. Pearson Educación, 2ªedición.
“Redes de Computadores”, Andrew S. Tanenbaum, Prentice Hall,4ª edición.
“RFC 1403. The Internet Society”. BGP OSPF Interaction
“RFC 1584. The Internet Society”. Multicast Extensions to OSPF.
“RFC 1586. The Internet Society”. Guidelines for Running OSPF Over Frame relay
Networks