Protocolos de enrutamiento: abrir la ruta mas corta

UNIVERSIDAD NACIONAL DE TRUJILLO

FACULTAD DE INGENIERIA MECATRONICA

MONOGRAFÍA

ABRIR PRIMERO LA RUTA MAS CORTA

AUTORES: JULIO HERRERA GERMAN JORGE GONGORA BAYONA

JONATHAN CATALAN AVALOS RICHARD JIMENEZ LOPEZ

TRUJILLO – PERU

2013

2

ÍNDICE Dedicatoria: .............................................................................................................................. 3

NTRODUCCIÓN ......................................................................................................................... 5

MARCO TEORICO ...................................................................................................................... 5

ABRIR PRIMERO LA RUTA MAS CORTA .................................................................................. 6

Áreas ................................................................................................................................. 6

Clasificación de enrutadores.............................................................................................. 7

Protocolo de saludo .......................................................................................................... 8

Tipos de redes ................................................................................................................... 8

Notificaciones de estado de conexiones ............................................................................ 9

Configuración básica de OSPF .......................................................................................... 10

Creación y eliminación de una instancia de enrutamiento OSPF ...................................... 11

Creación y eliminación de un área OSPF .......................................................................... 12

Asignación de interfaces a un área OSPF ......................................................................... 14

Habilitación de OSPF en interfaces .................................................................................. 15

Verificación de la configuración ....................................................................................... 16

Redistribución de rutas en protocolos de enrutamiento .................................................. 16

Resumen de rutas redistribuidas ..................................................................................... 17

Parámetros globales de OSPF .......................................................................................... 17

Notificación de la ruta predeterminada ........................................................................... 19

Conexiones virtuales ....................................................................................................... 19

Ajuste de parámetros OSPF de interfaz ........................................................................... 22

Autenticación de vecinos ................................................................................................. 23

Configuración de una lista de vecinos de OSPF ................................................................ 26

Rechazo de rutas predeterminadas ................................................................................. 27

Protección contra inundaciones ...................................................................................... 27

Interfaz de túnel punto a multipunto............................................................................... 30

Establecer el tipo de conexión OSPF ................................................................................ 30

Inhabilitación de la restricción Route-Deny ..................................................................... 30

Creación de una red punto a multipunto ......................................................................... 31

CONCLUSIONES ....................................................................................................................... 33

ANEXOS .................................................................................................................................. 35

Apéndice A: ................................................................................................................. 36

Apéndice B: ................................................................................................................. 37

Apéndice C: ................................................................................................................. 38

Apéndice D: ................................................................................................................. 40

3

BIBLIOGRAFIA ......................................................................................................................... 41

Dedicatoria:

4

Dedicamos este trabajo en primer lugar a nuestros padres quienes nos apoyan en todo

momento, por sus consejos, sus valores inculcados, por la motivación constante que nos

permiten ser unas personas de bien. A mi padre por los ejemplos de perseverancia y de seguir

mis sueños para ser una persona de bien en el futuro.

A mis maestros por su gran apoyo y motivación para la culminación de nuestros estudios

profesionales, por transmitirnos sus conocimientos obtenidos y habernos llevado paso a paso

en el camino de aprendizaje.

5

NTRODUCCIÓN

Con el aumento de las diversas tecnologías, y las grandes expectativas que estas producen en

los usuarios o consumidores, se debe siempre idear una forma más rápida y efectiva para

brindar un mejor servicio.

Es por este motivo que en la distribución de información en una red se desarrolló una forma

de lograr el rápido transporte de paquetes y la redistribución a través de nodos libres por de

un llamado “protocolo routing interno”.

En un inicio se desarrolló una primera versión llamada RIP que presentaba diversos problemas

en cuanto a conexión y velocidad.

En la actualidad se ha logrado desarrollar la segunda versión denominada OSPF que se basa

principalmente en el algoritmo Dijkstra y siempre trata de encontrar la ruta más cortaen la

transmisión de datos y con un muy buen algoritmo de seguridad.

En esta investigación se presenta la forma en que este protocolo actúa y logra establecer

relación entre diferentes máquinas de una red, como conecta la red virtual, previene y corrige

errores y posibles saturaciones.

Se trata de hacer una forma entendible y manejable para poder tener un concepto claro del

funcionamiento de este protocolo y se citan ejemplos que tratan de mejorar el entendimiento

del estudiante.

MARCO TEORICO

6

ABRIR PRIMERO LA RUTA MAS CORTA

En el desarrollo de este capítulo se describe el protocolo de enrutamiento OSPF (Open

ShortestPathFirst, abrir primero la ruta más corta) en los dispositivos de seguridad.

OSPF es unprotocolo de enrutamiento jerárquico de pasarela interior, de envestidura

dinámica IGP (Interior Gateway Protocol), que usa el algoritmo SmothWallDijkstra enlace-

estado (LSE - Link StateAlgorithm) para calcular la ruta más corta posible, utilizando la métrica

de menor costo, por ejemplo una métrica podría ser el menor costo de RTT (Round Trip Time).

Usa costcomo su medida de métrica. Además, construye una base de datos enlace-estado

(link-statedatabase, LSDB) idéntica en todos los enrutadores de la zona.

Los enrutadores OSPF utilizan las LSA de los enrutadores contiguos para actualizaruna base de

datos de estado de conexiones.

El protocolo OSPF utiliza la base de datos de estado de conexiones para determinar cuál es la

mejor ruta a una red cualquiera dentro del sistema autónomo. Esto se consigue generando un

árbol de ruta más corta, que es una representación gráfica de la ruta más corta a una

determinada red dentro del sistema autónomo. Aunque todos los enrutadores tienen la misma

base de datos de estado de conexiones, sus árboles de ruta más corta son exclusivos, ya que

los enrutadores generan estos árboles situándose a sí mismos en su raíz.

Áreas

De forma predeterminada, OSPF se puede descomponer en regiones (áreas) más pequeñas.

Hay un área especial llamada área backbone(normalmente es el área 0.0.0.0). Sin embargo,

las redes de gran tamaño que se encuentran dispersas geográficamente se suelen segmentar

en múltiples áreas. A medida que la red se amplía, las bases de datos de estado de conexión

también crecen y se dividen en grupos más pequeños para mejorar su posibilidad de

ampliación. Si no es posible hacer una conexión directa con el backbone, se puede hacer un

enlace virtual entre redes.

Las áreas reducen el volumen de información de enrutamiento que pasa a través dela red, ya

que cada enrutador sólo tiene que actualizar la base de datos de estado del área a la que

pertenece. No necesita actualizar la información de estado de las redes o enrutadores que se

encuentran en otras áreas. Un enrutador conectado múltiples áreas mantiene una base de

estado de conexiones por cada área a la que está conectado. Las áreas deben estar conectadas

7

directamente al áreabackbone,excepto cuando crean una conexión virtual. Para obtener más

información sobre conexiones virtuales.

Las notificaciones externas de AS describen rutas a destinos en otros sistemas ASy se inundan

en todo un AS. Ciertas áreas OSPF se pueden configurar como áreas de rutas internas

(stubáreas); de este modo, las notificaciones externas de sistemas autónomos no inundarán

estas áreas. En OSPF se utilizan normalmente dos tiposde áreas habituales:

Área Backbone: También denominado área cero, forma el núcleo de una red OSPF. Es

la única área que debe estar presente en cualquier red OSPF, y mantiene conexión,

física o lógica, con todas las demás áreas en que esté particionada la red. La conexión

entre un área y el backbone se realiza mediante los ABR, que son responsables de la

gestión de las rutas no-internas del área (esto es, de las rutas entre el área y el resto

de la red).

Área stub: Es aquella que no recibe rutas externas. Las rutas externas se definen como

rutas que fueron inyectadas en OSPF desde otro protocolo de enrutamiento. Por lo

tanto, las rutas de segmento necesitan normalmente apoyarse en las rutas

predeterminadas para poder enviar tráfico a rutas fuera del segmento.

Área not-so-stubby: También conocidas como NSSA, constituyen un tipo de área stub

que puede importar rutas externas de sistemas autónomos y enviarlas al backbone,

pero no puede recibir rutas externas de sistemas autónomos desde el backbone u

otras áreas.

Clasificación de enrutadores

Los enrutadores que participan en el enrutamiento OSPF se clasifican de acuerdo con su

función o su posición en la red:

Enrutador interno: enrutador cuyas interfaces pertenecen a la misma área.

Enrutador de área troncal: enrutador con una interfaz en el área troncal.

Enrutador de límite de área: enrutador conectado a dos o más áreas. Este tipo de

enrutador resume las rutas desde distintas áreas para su distribución al área troncal.

En los dispositivos de seguridad con OSPF, el área troncal se crea de forma

predeterminada. Si se crea una segunda área en un enrutador virtual, el dispositivo

funcionará como enrutador de límite de área.

8

Enrutador de límite de sistema autónomo: cuando un área OSPF limita con otro

sistema autónomo, el enrutador situado entre los dos sistemas autónomos se

considera el enrutador de límite. Estos enrutadores se encargan de distribuir la

información de enrutamiento.

Protocolo de saludo

Dos enrutadores con interfaces en la misma subred se consideran vecinos. Los enrutadores

utilizan el protocolo de saludo para establecer y mantener estas relaciones de vecindad.

Cuando dos enrutadores establecen comunicación bidireccional, se dice que han establecido

una adyacencia. Si dos enrutadores noestablecen una relación de adyacencia, no podrán

intercambiar información de enrutamiento.

Cuando hay múltiples enrutadores en una red, es necesario configurar un enrutador como

enrutador designado y otro como enrutador designado de respaldo. El enrutador designado es

responsable de inundar la red con LSA que contengan una lista de todos los enrutadores que

admitan OSPF incorporados a la red. El enrutador designado es el único que puede formar

adyacencias con otros enrutadores de la red. Así, el enrutador designado es el único de la red

que puede proporcionar información de enrutamiento al resto de enrutadores. El enrutador

designado de respaldo sustituye al enrutador designado en caso de que éste falle.

Tipos de redes

Juniper Networks, Inc. es un fabricante estadounidense de equipos de red fundada en 1996

por PradeepSindhu. Tiene su sede en Sunnyvale, California, EE.UU. La compañía diseña y vende

alto rendimiento de protocolo de Internet los productos y servicios de red. Los principales

productos de Juniper incluyen la serie T, serie M, serie E, MX-series y la serie J familias

de routers, EX-series switches Ethernet y productos de seguridad de la serie SRX. Junos, propia

de Juniper sistema operativo de red, se ejecuta en la mayoría de los productos de Juniper. Para

más información de Juniper Networks diríjase al anexo A.

Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de redes OSPF:

Redes de difusión

9

Una red de difusión (broadcast) es una red que interconecta varios enrutadores y que

puede enviar (o difundir) un único mensaje físico a todos los enrutadores conectados.

Ethernet es un ejemplo de red de difusión.En las redes de difusión, el enrutador OSPF

detecta dinámicamente los enrutadores vecinos enviando paquetes de saludo a la

dirección multidifusión 224.0.0.5. En las redes de difusión, el protocolo de saludo

decide cuál será el enrutador designado y el enrutador designado de respaldo para la

red.

Redes punto a punto

Una red punto a punto une dos enrutadores a través de una red de área extensa

(WAN). Un ejemplo de red punto a punto serían dos dispositivos de seguridad

conectados a través de un túnel VPN IPSec. En las redes punto a punto, el enrutador

OSPF detecta dinámicamente los enrutadores vecinos enviando paquetes de saludo a

la dirección multicast 224.0.0.5.

Redes punto a multipunto

Una red punto a multipunto es una red que no es de difusión en la que OSPF trátalas

conexiones entre enrutadores como vínculos punto a punto. Para la red no existe

ninguna elección de un enrutador designado ni de inundación LSA. Un enrutador en

una red punto a multipunto envía paquetes de saludo a todos los vecinos con quienes

pueda comunicarse directamente.

Notificaciones de estado de conexiones

Cada enrutador OSPF envía notificaciones de estado de conexiones (LSA) que definen la

información de estado local del enrutador. Además, hay otros tipos de LSA que un enrutador

envía, dependiendo de la función de OSPF del enrutador. La Tabla 5 detalla los tipos de LSA,

dónde se inunda cada tipo de LSA y el contenido década tipo de LSA.

Tabla 5: Resumen del contenido y tipos de LSA

10

Configuración básica de OSPF

En esta sección se describen los pasos básicos para configurar OSPF en un enrutador virtual

ubicado en un dispositivo de seguridad:

1. Crear y habilitar la instancia de enrutamiento OSPF en un enrutador virtual. En este paso

también se crea automáticamente un área troncal de OSPF, con unid de área de 0.0.0.0, que

no se podrá eliminar.

2. (Opcional) A menos que todas las interfaces OSPF se conecten al área troncal, tendrá que

configurar una nueva área OSPF con su propia ID de área. Por ejemplo, si el dispositivo de

seguridad va a funcionar como enrutador de límite de área, tendrá que crear otra área OSPF

además del área troncal. La nueva área que se cree podrá ser normal, de rutas internas o no

exclusiva de rutas internas.

3. Asignar una o varias interfaces a cada área OSPF. Las interfaces se deben agregar a un área

OSPF explícitamente, incluyendo el área troncal.

4. Habilitar OSPF en cada interfaz.

5. Comprobar que el protocolo OSPF está configurado correctamente y funciona.

En este ejemplo configuraremos el dispositivo de seguridad como enrutador delimite de área

conectándolo al área 0 a través de la interfaz ethernet3 y al área 10a través de ethernet1.

Consulte la Figura 10.

11

Opcionalmente también es posible configurar otros parámetros de OSPF revisar el

apéndice B.

Creación y eliminación de una instancia de enrutamiento OSPF

Es posible crear y habilitar una instancia de enrutamiento OSPF en un VR específico ubicado en

un dispositivo de seguridad. Para eliminar una instancia de enrutamiento OSPF, desactive la

instancia OSPF y luego elimínela. Al crear la instancia de enrutamiento OSPF se crea

automáticamente el área troncal OSPF. Si crea y habilita una instancia de enrutamiento OSPF

en un enrutador virtual, OSPF podrá transmitir y recibir paquetes en todas las interfaces

habilitadas para OSPF del enrutador.

Creación de una instancia de OSPF

En el siguiente ejemplo, en primer lugar asignará 0.0.0.10 como ID de enrutador trust-vr. A

continuación creará una instancia de enrutamiento OSPF en él.

WebUI

1. ID de enrutador

Network >Routing> Virtual Router (trust-vr) >Edit: Introduzca los siguientes datos y

haga clic en OK:

- Virtual Router ID: Custom (seleccione)

- En el cuadro de texto, introduzca 0.0.0.10

2. Instancia de enrutamiento OSPF

Network > Routing > Virtual Router (trust-vr) > Edit > Create OSPF Instance:

Seleccione OSPF Enabled, luego haga clic en OK.

CLI

1. ID de enrutador

setvrouter trust-vr router-id 10

2. Instancia de enrutamiento OSPF

setvrouter trust-vr protocol ospf

setvrouter trust-vr protocol ospf enable

sabe

12

En la línea de comandos CLI, tendrá que crear la instancia de enrutamiento OSPF antes de

poder habilitarla. Por lo tanto, tendrá que ejecutar dos comandos CLI para habilitar una

instancia de enrutamiento OSPF.

Eliminación de una instancia de OSPF

En este ejemplo inhabilitará la instancia de enrutamiento OSPF en el enrutador virtual trust-

vr. OSPF dejará de transmitir y procesar paquetes OSPF en todas las interfaces habilitadas

para OSPF en el enrutador trust-vr.

WebUI

Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:

Desactive OSPF Enabled, luego haga clic en OK.

Network > Routing > Virtual Routers (trust-vr) > Edit > Delete OSPF

Instante, luego haga clic en OK en el mensaje de confirmación.

CLI

unsetvrouter trust-vr protocol ospf

deleting OSPF instance, are you sure? y/[n]

sabe

Creación y eliminación de un área OSPF

Las áreas reducen el volumen de información de enrutamiento que tiene que pasar por la

red, ya que los enrutadores OSPF sólo actualizan la base de datos de estado de conexiones

del área a la que pertenecen. No necesitan actualizar la información de estado de las redes o

enrutadores que se encuentran en otras áreas.

Todas las zonas deben conectarse a la zona 0, que se crea al configurar una instancia de

enrutamiento OSPF en el enrutador virtual. Si es necesario crear un área OSPF adicional,

también es posible definirla como área de rutas internas área no exclusiva de rutas internas.

Si desea más información sobre estos tipos de áreas, consulte “Áreas” en la página 48.

La Tabla 6 detalla los parámetros de área, con descripciones de cada parámetro, e indica el

valor predeterminado de cada uno de éstos.

Tabla 6: Parámetros de áreas de OSPF y sus valores predeterminados

13

Creación de un área OSPF

En el siguiente ejemplo creará un área OSPF con la ID de area 10.

WebUI

Network > Routing > Virtual Routers >Edit (trust-vr) > Edit OSPF Instance> Area: Introduzca

los siguientesdatos y hagaclic en OK:

Area ID: 10

Type: normal (seleccione)

Action: Add

CLI

setvrouter trust-vr protocol ospf area 10

sabe

Eliminación de un área OSPF

Antes de que pueda eliminar un área de OSPF, debe desactivar el proceso de OSPF

para VR. En el siguiente ejemplo, detenga el proceso de OSPF y luego elimine un

área de OSPF con una ID de área de 10.

WebUI

Network > Routing > Virtual Routers (trust-vr) > Edit > Edit OSPF Instance:

Elimine la selección OSPF Enabled, luego haga clic en OK.

Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance

>Area: Haga clic en Remove.

CLI

unsetvrouter trust-vr protocol ospf enable

unsetvrouter trust-vr protocol ospf area 0.0.0.10

save

14

Asignación de interfaces a un área OSPF

Asignación de interfaces a un área OSPF

Es posible asignarle una o varias interfaces, ya sea utilizando la WebUI o el comando CLI set

interface.

Asignación de interfaces a áreas:

En el siguiente ejemplo asignará la interfaz ethernet1 al área OSPF 10 y la interfaz ethernet3

al área OSPF 0.

WebUI

Network > Routing > Virtual Routers > Edit (trust-vr) > Edit OSPF Instance > Area > Configure

(Area 10): Utilize el botón Add para mover la interfaz ethernet1 de la columna Available

Interface(s) a la columna Selected Interfaces. Haga clic en OK.

Network > Routing > Virtual Routers >Edit (para trust-vr) > Edit OSPF Instance > Area >

Configure (Area 0): Utilice el botón Add para mover la interfaz ethernet3 de la columna

Available Interface(s) a la columna Selected Interfaces. Hagaclic en OK.

CLI

set interface ethernet1 protocol ospf area 10

set interface ethernet3 protocol ospf area 0

sabe

Configuración de un rango de áreas

Al configurar un rango de áreas, deberá especificar si desea notificar o retener el rango de

áreas definido en las notificaciones.

En el siguiente ejemplo definirá los siguientes rangos de áreas para el área 10:

• 10.1.1.0/24, se notificará.

• 10.1.2.0/24, no se notificará.

WebUI

15

Network >Routing> Virtual Routers>Edit (para trust-vr) >Edit OSPF Instance>Area> Configure

(0.0.0.10): Introduzca los siguientes datos en la sección AreaRange y haga clic en Add:

IP/Netmask: 10.1.1.0/24

Type: (seleccione) Advertise

Introduzca los siguientes datos en la sección Área Range y haga clic en Add:

IP/Netmask: 10.1.2.0/24

Type: (seleccione) No Advertise

CLI

setvrouter trust-vr protocol ospf area 10 range 10.1.1.0/24 advertise

setvrouter trust-vr protocol ospf area 10 range 10.1.2.0/24 no-advertise

sabe

Habilitación de OSPF en interfaces

De forma predeterminada, el protocolo OSPF está inhabilitado en todas las interfaces del

enrutador virtual (VR). Este protocolo se debe habilitar explícitamente en una interfaz antes

de poder asignarla a un área. Si se desactiva OSPF en una interfaz, dejará de transmitir o

recibir paquetes en esa interfaz, pero sus parámetros de configuración se conservarán.

WebUI

Network > Interfaces >Edit (para ethernet1) > OSPF: Seleccione Enable Protocol OSPF,

luegohagaclic en Apply. Network > Interfaces >Edit (para ethernet3) > OSPF: Seleccione

Enable

Protocol OSPF, luego haga clic en Apply.

CLI

set interface ethernet1 protocol ospf enable


save

16

Verificación de la configuración

Puede ver la configuración introducida para trust-vr ejecutando el siguiente comando CLI:

device-> get vrouter trust-vr protocol ospfconfig

VR: trust-vrRouterId: 10.1.1.250

----------------------------------

set protocol ospf

set enable

set area 0.0.0.10 range 10.1.1.0 255.255.255.0 advertise

set area 0.0.0.10 range 10.1.2.0 255.255.255.0 no-advertise

set interface ethernet1 protocol ospf area 0.0.0.10


set interface ethernet3 protocol ospf area 0.0.0.0


Redistribución de rutas en protocolos de enrutamiento

La redistribución de rutas es el intercambio de información sobre rutas entre protocolos de

enrutamiento. Por ejemplo, se pueden redistribuir los siguientes tipos de rutas en la

instancia de enrutamiento OSPF de un mismo enrutador virtual:

• Rutas reconocidas por BGP o RIP

• Rutas conectadas directamente

• Rutas importadas

• Rutas configuradas estáticamente

WebUI

Network > Routing > Virtual Routers > Edit (para trust-vr) > Edit OSPF

Instance>Redistributable Rules: Introduzca los siguientes datos y haga clic

en Add:

Route Map: add-bgp

Protocol: BGP

CLI

setvrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp

save

17

Resumen de rutas redistribuidas

En las grandes redes, donde pueden coexistir miles de direcciones de red, algunos

enrutadores podrían llegar a congestionarse por la gran cantidad de información de ruta. Si

ya redistribuyó rutas de un protocolo externo en la instancia de enrutamiento OSPF actual,

podrá reunir las rutas en una ruta de red general o resumida. Al resumir múltiples

direcciones, hará que un grupo de rutas se reconozcan como una sola, simplificando así el

proceso de consulta. Una de las ventajas de crear resúmenes de rutas en redes grandes y

complejas es que se pueden aislar los cambios topológicos de otros enrutadores.

En este ejemplo redistribuirá las rutas BGP a la instancia de enrutamiento OSPF actual. A

continuación resumirá el conjunto de rutas importadas en la dirección de red 2.1.1.0/24.

WebUI


Instance>Redistributable Rules: Introduzca los siguientes datos y haga clic

en Add:

Route Map: add-bgp

Protocol: BGP


Instance>SummaryImport: Introduzca los siguientes datos y haga clic

en Add:

IP/Netmask: 2.1.1.0/24

CLI

setvrouter trust-vr protocol ospf redistribute route-map add-bgp protocol bgp

setvrouter trust-vr protocol ospf summary-import ip 2.1.1.0/24

sabe

Parámetros globales de OSPF

En esta sección se describen parámetros globales de OSPF que se pueden configurar de

forma opcional en un enrutador virtual (VR). Cuando se configura un parámetro OSPF en el

18

nivel de enrutador virtual, los datos de configuración afectarán a las operaciones de todas

las interfaces que tengan habilitado el protocolo OSPF. Es posible modificar los valores de los

parámetros globales del protocolo de enrutamiento OSPF por medio de las interfaces CLI y

WebUI.

La Tabla 7 detalla los parámetros globales de OSPF y sus valores predeterminados.

Parámetros globales de OSPF

Descripción

Valor predeterminado

Advertise default

route

Especifica que una ruta predeterminada activa

(0.0.0.0/0) en la tabla de rutas del enrutador virtual se notifica en todas las áreas OSPF. También es

posible especificar el valor de métrica o si la

métrica original de la ruta se preservará, así como el tipo de métrica (ASE tipo 1 o tipo 2). También se

puede especificar que la ruta predeterminada

siempre se notifique.

La ruta

predeterminada no se notifica

Reject default rote Especifica que cualquier ruta predeterminada reconocida en OSPF no se agregará a la tabla de

rutas.

La ruta predeterminada

reconocida en

OSPF se agrega a la tabla de rutas

Automatic virtual link

Especifica que el VR creará una conexión virtual automáticamente si no puede acceder al área troncal

de OSPF

Desactivado

Maximumhello packets

Especifica el número máximo de paquetes de saludo OSPF que el VR puede recibir en un

intervalo desaludo.

10

Maximum LSA

packets

Especifica el número máximo de paquetes LSA de

OSPF que el VR puede recibir dentro del intervalo en segundos especificado

No hay valor

predeterminado

RFC 1583

compatibility

Especifica que la instancia de enrutamiento OSPF

es compatible con la norma RFC 1583, una versión

anterior de OSPF.

OSPF versión 2,

tal y como se

define en RFC 2328.

Enrutamiento

multidireccional de

igual coste (ECMP)

Especifica el número máximo de rutas (1-4) a

utilizar para equilibrar cargas con los destinos que

tengan múltiples rutas de igual coste. Consulte la “Configuración del enrutamiento multidireccional

de igual coste” en la página 36.

Disabled (1).

Virtual link

configuration

Configura el área OSPF y la ID de enrutador para la

conexión virtual. De forma opcional también puede

configurar el método de autenticación, el intervalo de saludo y el de retransmisión, el retardo de

transmisión o el intervalo de interlocutor muerto

para la conexión virtual.

No hay conexión

Virtual

configurada.

19

Notificación de la ruta predeterminada

La ruta predeterminada, 0.0.0.0/0, coincide con cada red de destino en una tabla de rutas,

aunque un prefijo más específico anulará la ruta predeterminada. En este ejemplo, usted

anunciará la ruta predeterminada de la instancia de enrutamiento OSPF actual.

WebUI


Instance: Seleccione Advertising Default Route Enable, luegohagaclic en OK.

CLI

setvrouter trust-vr protocol ospf advertise-default-route metric 1 metric-type 1

sabe

Conexiones virtuales

Aunque todas las áreas deben estar conectadas directamente al área troncal, algunas veces

debe crear un área nueva que no se puede conectar físicamente al área troncal. Para

resolver este problema se puede configurar una conexión virtual. Una conexión virtual

proporciona un área remota con una ruta lógica al área troncal a través de otra área. En los

enrutadores, la conexión virtual se debe configurar en los dos extremos de la conexión. Para

configurar una conexión virtual en el dispositivo de seguridad, debe definir:

• La ID del área OSPF que va a cruzar la conexión virtual. No es posible crear una

conexión virtual que cruce el área troncal o un área de rutas internas.

• La ID del enrutador al otro extremo de la conexión virtual.

La Tabla 8 detalla los parámetros opcionales para las conexiones virtuales.

Parámetro de

conexión

virtual

Descripción Valor

predeterminado

Authentication Especifica la autenticación por contraseña de texto

no encriptado o la autenticación MD5.

Sin autenticación

20

Deadinterval Especifica el intervalo en segundos en que no se

producirá respuesta desde un dispositivo OSPF

vecino antes de que se determine que éste no funciona

40 segundos

Hellointerval Especifica el tiempo en segundos entre dos saludos

OSPF.

10 segundos

Retransmit

interval

Especifica el tiempo en segundos que transcurrirá

antes de que la interfaz reenvíe una LSA a un vecino que no respondió a la primera LSA.

5 segundos

Transmitdelay Especifica el tiempo en segundos entre las

transmisiones de paquetes de actualización de

estado de conexión enviados a una interfaz.

1 segundo

Creación de una conexión virtual

En el siguiente ejemplo creará una conexión virtual a través del área OSPF 10 desde el

dispositivo-A con ID de enrutador 10.10.1.250 al dispositivo-B con la ID de enrutador

10.1.1.250. Consulte “Enrutamiento” en la página 13 para obtener más información sobre la

configuración de ID de enrutadores en los dispositivos de seguridad). También puede

configurar la conexión virtual con un retardo de tránsito de 10 segundos. En cada dispositivo

de seguridad, tendrá que identificar la ID de enrutador del dispositivo en el otro extremo de

la conexión virtual.

WebUI (dispositivo-A)


Instance> Virtual Link: Introduzca los siguientes datos y haga clic en Add:

Area ID: 10 (seleccione)

Router ID: 10.1.1.250

> Configure: En el campo TransmitDelay, escriba 10 y haga clic en OK.

CLI (dispositivo-A)

setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.1.1.250

setvrouter trust-vr protocol ospfvlink area-id 10 router-id 10.1.1.250 transit-delay

10

Save

21

WebUI (dispositivo-B)


Instance> Virtual Link: Introduzca los siguientes datos y haga clic en Add:

Area ID: 10

Router ID: 10.10.1.250

> Configure: En el campo TransmitDelay, escriba 10 y haga clic en OK.

CLI (dispositivo-B)



transit-delay 10

save

Creación de una conexión virtual automática

Puede hacer que un enrutador virtual (VR) cree automáticamente una conexión virtual para

las instancias en las que no sea posible acceder al área troncal de la red. Si el enrutador

virtual crea conexiones virtuales automáticamente se ahorrará el tiempo necesario para

crear cada una de las conexiones virtuales de forma manual.

En el siguiente ejemplo configuraremos la creación automática de conexiones virtuales.

WebUI


Instance: Seleccione AutomaticallyGenerate Virtual Links, luego haga clic

en OK.

CLI

setvrouter trust-vr protocol ospf auto-vlink

save

22

Ajuste de parámetros OSPF de interfaz

En esta sección se describen los parámetros OSPF que se pueden configurar en el nivel de

interfaz. Cuando se configura un parámetro OSPF en el nivel de interfaz, los datos de

configuración afectan únicamente al funcionamiento OSPF de la interfaz especificada. Puede

modificar los ajustes de los parámetros de la interfaz mediante comandos de interfaz en la

CLI o utilizando la WebUI.

La Tabla 2 detalla los parámetros opcionales de interfaz de OSPF y sus valores

predeterminados.

Tabla 2: Parámetros opcionales de interfaz de OSPF y sus valores predeterminados

En el siguiente ejemplo, configuramos los siguientes parámetros OSPF para la interfaz

ethernet1:

23

1. Aumentar el intervalo entre los mensajes de saludo en OSPF a 15 segundos.

2. Aumentar el intervalo entre las retransmisiones OSPF a 7 segundos.

3. Aumentar el intervalo entre las transmisiones de LSA a 2 segundos.

WebUI

Network > Interfaces > Edit (para ethernet1) > OSPF: Introduzca los siguientes datos, luego

haga clic en Apply:

Hello Interval: 15

Retransmit Interval: 7

Transit Delay: 2

CLI

set interface ethernet1 protocol ospf hello-interval 15

set interface ethernet1 protocol ospf retransmit-interval 7

set interface ethernet1 protocol ospf transit-delay 2

sabe

Configuración de seguridad

Autenticación de vecinos

Un enrutador OSPF se puede suplantar fácilmente, ya que las LSA no se encriptan y la

mayoría de los analizadores de protocolo permiten desencapsular paquetes OSPF. La mejor

forma de acabar con el riesgo de este tipo de ataques será autenticando los vecinos OSPF.

OSPF ofrece dos formas de validar los paquetes OSPF recibidos de los vecinos:

porautenticación de contraseña simple y por autenticación MD5. Todos los paquetes OSPF

recibidos en la interfaz que no se autentiquen se descartarán. De forma predeterminada,

ninguna interfaz OSPF tiene la autenticación habilitada.

Para la autenticación MD5 se necesita la misma clave utilizada para los enrutadores OSPF

de envío y recepción. Puede especificar más de una clave MD5 en el dispositivo de

seguridad, cada una de las cuales tendrá su propia clave. Si configura varias claves MD5 en

el dispositivo de seguridad, podrá seleccionar un identificador para la clave que se utilizará

para autenticar las comunicaciones con el enrutador vecino. De esta forma es posible

cambiar periódicamente las claves MD5 por parejas de enrutadores minimizando el riesgo

de que algún paquete se descarte.

Relación con los vecinos en OSPF

24

Cada encaminador OSPF realiza un seguimiento de sus nodos vecinos, estableciendo

distintos tipos de relación con ellos. Respecto a un encaminador dado, sus vecinos pueden

encontrarse en siete estados diferentes.

Estados de OSPF:

Desactivado (DOWN). En el estado desactivado, el proceso OSPF no ha intercambiado

información con ningún vecino. OSPF se encuentra a la espera de pasar al siguiente

estado (Estado de Inicialización)

Inicialización (INIT). Los routers (enrutadores) OSPF envían paquetes tipo 1, o

paquetes Hello, a intervalos regulares con el fin de establecer una relación con los

Routers vecinos. Cuando una interfaz recibe su primer paquete Hello, el router entra al

estado de Inicialización. Esto significa que este sabe que existe un vecino a la espera de

llevar la relación a la siguiente etapa. Los dos tipos de relaciones son Bidireccional y

Adyacencia. Un routerdebe recibir un paquete Hello (Hola) desde un vecino antes de

establecer algún tipo de relación.

Bidireccional (TWO-WAY). (encaminador = enrutador). Empleando paquetes Hello,

cada enrutador OSPF intenta establecer el estado de comunicación bidireccional (dos-

vías) con cada enrutador vecino en la misma red IP. Entre otras cosas, el paquete Hello

incluye una lista de los vecinos OSPF conocidos por el origen. Un enrutador ingresa al

estado Bidireccional cuando se ve a sí mismo en un paquete Hello proveniente de un

vecino. El estado Bidireccional es la relación más básica que vecinos OSPF pueden

tener, pero la información de encaminamiento no es compartida entre estos. Para

aprender los estados de enlace de otros enrutadores y eventualmente construir una

tabla de enrutamiento, cada enrutador OSPF debe formar a lo menos una adyacencia.

Una adyacencia es una relación avanzada entre enrutadores OSPF que involucra una

serie de estados progresivos basados no solo en los paquetes Hello, sino también en el

intercambio de otros 4 tipos de paquetes OSPF. Aquellos encaminadores intentando

volverse adyacentes entre ellos intercambian información de encaminamiento incluso

antes de que la adyacencia sea completamente establecida. El primer paso hacia la

adyacencia es el estado ExStart.

Inicio de Intercambio (EXSTART). Técnicamente, cuando un encaminador y su vecino

entran al estado ExStart, su conversación es similar a aquella en el estado de

Adyacencia. ExStart se establece empleando descripciones de base de datos tipo 2

(paquetes DBD), también conocidos como DDPs. Los dos encaminadores vecinos

emplean paquetes Hello para negociar quien es el "maestro" y quien es el "esclavo" en

su relación y emplean DBD para intercambiar bases de datos. Aquel encaminador con

el mayor router ID "gana" y se convierte en el maestro. Cuando los vecinos establecen

sus roles como maestro y esclavo entran al estado de Intercambio y comienzan a

enviar información de encaminamiento.

Intercambio (EXCHANGE). En el estado de intercambio, los encaminadores vecinos

emplean paquetes DBD tipo 2 para enviarse entre ellos su información de estado de

enlace. En otras palabras, los encaminadores se describen sus bases de datos de

estado de enlace entre ellos. Los encaminadores comparan lo que han aprendido con

lo que ya tenían en su base de datos de estado de enlace. Si alguno de los

encaminadores recibe información acerca de un enlace que no se encuentra en su

25

base de datos, este envía una solicitud de actualización completa a su vecino.

Información completa de encaminamiento es intercambiada en el estado Cargando.

Cargando (LOADING). Después de que las bases de datos han sido completamente

descritas entre vecinos, estos pueden requerir información más completa empleando

paquetes tipo 3, requerimientos de estado de enlace (LSR). Cuando un enrutador

recibe un LSR este responde empleando un paquete de actualización de estado de

enlace tipo 4 (LSU). Estos paquetes tipo 4 contienen las publicaciones de estado de

enlace (LSA) que son el corazón de los protocolos de estado de enlace. Los LSU tipo 4

son confirmados empleando paquetes tipo 5 conocidos como confirmaciones de

estado de enlace (LSAcks).

Adyacencia completa (FULL). Cuando el estado de carga ha sido completada, los

enrutadores se vuelven completamente adyacentes. Cada enrutador mantiene una

lista de vecinos adyacentes, llamada base de datos de adyacencia.

Configuración de una contraseña de texto no cifrado

En este ejemplo, crearemos la contraseña de texto no encriptado 12345678 para

OSPF en la interfaz ethernet1.

WebUI


haga clic en Apply:

Password: (seleccione), 12345678

CLI

set interface ethernet1 protocol ospf authentication password 12345678

save

Configuración de una contraseña MD5

En el siguiente ejemplo, creará dos claves MD5 distintas para la interfaz ethernet1 y

seleccionará una de ellas para que sea la clave activa. Cada clave MD5 puede tener 16

caracteres. El número identificador de clave debe estar entre 0 y 255. El identificador de

clave predeterminado es 0, de manera que no es necesario especificar el identificador de

clave para la primera clave MD5 que introduzca.

WebUI


haga clic en Apply:

26

Authentication:

MD5 Keys: (seleccione)

1234567890123456

9876543210987654

Key ID: 1

Preferred: (seleccione)

CLI

set interface ethernet1 protocol ospf authentication md5 1234567890123456

set interface ethernet1 protocol ospf authentication md5 9876543210987654

key-id 1

set interface ethernet1 protocol ospf authentication md5 active-md5-key-id 1

save

Configuración de una lista de vecinos de OSPF

Los entornos de acceso múltiple permiten que los dispositivos, incluyendo los enrutadores,

se puedan conectar a una red de forma relativamente sencilla. Esto puede provocar

problemas de estabilidad o rendimiento si el dispositivo conectado no es fiable.

De forma predeterminada, la instancia de enrutamiento OSPF en el enrutador virtual (VR)

ScreenOS forma adyacencias con todos los vecinos OSPF que secomunican en una interfaz

con OSPF. Es posible limitar los dispositivos de una interfaz que pueden formar

adyacencias con la instancia de enrutamiento OSPF definiendo una lista de subredes que

contengan vecinos OSPF que se puedan elegir.

Sólo los hosts o enrutadores que se encuentren en las subredes definidas podrán formar

adyacencias con la instancia de enrutamiento OSPF. Para especificar las subredes que

contienenvecinos OSPF válidos, se debe definir una lista de acceso a las subredes en el

nivel del enrutador virtual (VR).

En este ejemplo configuraremos una lista de acceso que permitirá la comunicación con los

hosts de la subred 10.10.10.130/27. A continuación especificaremos la lista de acceso para

que configure vecinos OSPF válidos.

WebUI

Network > Routing > Virtual Router (trust-vr) > Access List > New:

27

Introduzca los siguientes datos y haga clic en OK:

Access List ID: 4

Sequence No.: 10

IP/Netmask: 10.10.10.130/27

Action: Permit (seleccione)


haga clic en Apply:

Neighbor List: 4

CLI

set vrouter trust-vr access-list 4

set vrouter trust-vr access-list 4 permit ip 10.10.10.130/27 10

set interface ethernet1 protocol ospf neighbor-list 4

save

Rechazo de rutas predeterminadas

En los ataques con desvío de rutas, un enrutador inyecta una ruta predeterminada

(0.0.0.0/0) en el dominio de enrutamiento para que los paquetes se desvíen a él. El

enrutador puede descartar los paquetes, causando una interrupción en el servicio, o

puede entregar información crítica a los paquetes antes de reenviarlos. En los dispositivos

de seguridad de Juniper Networks, OSPF acepta en principio cualquier ruta

predeterminada reconocida en OSPF y agrega la ruta predeterminada a la tabla de rutas.

En el siguiente ejemplo especificaremos que una ruta predeterminada no se reconozca en

OSPF.

WebUI


Instance: Seleccione la casilla de verificación Do Not Add Default-route

Learned in OSPF, luego haga clic en OK.

CLI

set vrouter trust-vr protocol ospf reject-default-route

sabe

Protección contra inundaciones

28

Un enrutador peligroso o que no funcione correctamente puede inundar a sus vecinos con

paquetes de saludo OSPF o con LSA. Cada enrutador capta la información de las LSA

enviadas por otros enrutadores en la red para recuperar la información de rutas para la

tabla de enrutamiento. La protección contra inundaciones de LSA permite determinar el

número de LSA que entrarán enel enrutador virtual (VR). Si éste recibe demasiadas LSA, el

enrutador fallará por una inundación LSA. Los ataques por LSA se producen cuando un

enrutador genera un número excesivo de LSA en un periodo corto de tiempo, puesto que

hace que los demás enrutadores OSPF de la red se mantengan ocupados ejecutando el

algoritmo SPF.

En los enrutadores virtuales que utilizan ScreenOS, es posible configurar el número

máximo de paquetes de saludo por intervalo de saludo y el número máximo de LSA que

recibirá una interfaz OSPF durante un intervalo determinado. Los paquetes que excedan el

límite configurado se descartarán. De forma predeterminada, el límite de paquetes de

saludo OSPF es de 10 paquetes por intervalo de saludo (el intervalo de saludo

predeterminado para una interfaz OSPF es de 10 segundos). No hay ningún límite de LSA

predefinido; si no impone un límite de LSA, se aceptarán todas.

Configuración de un umbral de saludo

En el siguiente ejemplo configuraremos un umbral de 20 paquetes por intervalo de saludo.

Este intervalo, que se puede configurar independientemente en cada interfaz OSPF, no

variará; seguirá ajustado a 10 segundos.

WebUI


Instance: Introduzca los siguientes datos y haga clic en OK:

Prevent Hello Packet Flooding Attack: On

Max Hello Packet: 20

CLI

set vrouter trust-vr protocol ospf hello-threshold 20

save

Configuración de un umbral de LSA

En este ejemplo estableceremos un límite OSPF de 10 paquetes LSA cada 20 segundos para

evitar ataques por inundación de LSA.

WebUI


29

Instance: Introduzca los siguientes datos y haga clic en OK:

LSA Packet Threshold Time: 20

Maximum LSAs: 10

CLI

set vrouter trust-vr protocol ospf lsa-threshold 20 10

save

Habilitación de la inundación reducida

Puede habilitar la característica de reducción de inundaciones para suprimir la inundación

LSA en las interfaces de punto a punto, como serie, de túnel o línea asíncrona de abonado

digital (ADSL), o interfaces de difusión, como las interfaces de Ethernet. En el ejemplo

siguiente, habilitará la supresión periódica de LSA sin afectar al flujo de paquetes de saludo

hacia la interfaz tunnel.1.

WebUI

Network > Interfaces > Edit (para tunnel.1) > OSPF: Introduzca los siguientes

datos, luego haga clic en Apply:

Reduce Flooding: (seleccione)

CLI

set interface tunnel.1 protocol ospf reduce-flooding

save

Creación de un circuito de demanda OSPF en una interfaz de túnel

Los circuitos de demanda de OSPF, según lo definido en la norma RFC 1793, son segmentos

de red en los que el tiempo de conexión o de utilización afecta al coste de uso de dichas

conexiones. En un circuito de demanda, el tráfico generado por OSPF necesita limitarse a

los cambios en la topología de la red. En los dispositivos de seguridad de Juniper Networks,

únicamente las interfaces de punto a punto, como las interfaces serie, de túnel o de línea

asíncrona de abonado digital (ADSL), pueden ser circuitos de demanda, y para que

funcionen adecuadamente, ambos extremos del túnel se deben configurar manualmente

como circuitos de demanda.

En interfaces de túnel configuradas como circuitos de demanda, el dispositivo de seguridad

suprime el envío de paquetes de saludo OSPF y la actualización periódica de inundaciones

LSA para disminuir la sobrecarga. Cuando el vecino OSPF alcanza el estado completo “Full”

(los saludos “Hello”coinciden y los LSA del enrutador y de la red reflejan a todos los vecinos

adyacentes), el dispositivo de seguridad suprime los paquetes de saludo periódicos y el LSA

30

se actualiza. El dispositivo de seguridad inunda solamente LSA cuyo contenido haya

cambiado.

WebUI

Network > Interfaces > Edit > OSPF: Introduzca los siguientes datos, luego

haga clic en Apply:

Demand Circuit: (seleccione)

CLI

set interface tunnel.1 protocol ospf demand-circuit

save

Interfaz de túnel punto a multipunto

Al asociar una interfaz de túnel a una zona OSPF en un dispositivo de seguridad, de forma

predeterminada se crea un túnel OSPF punto a punto. La interfaz de túnel punto a punto

puede formar una adyacencia con solamente un enrutador OSPF en el extremo remoto. Si

la interfaz de túnel local va a ser asociada a múltiples túneles, debe configurar la interfaz de

túnel local como interfaz punto a multipunto e inhabilitar la característica route-deny en la

interfaz de túnel.

Establecer el tipo de conexión OSPF

Si se propone formar adyacencias OSPF en múltiples túneles, necesitará establecer el tipo

de conexión como punto a multipunto (p2mp).

En el siguiente ejemplo establecerá el tipo de conexión de tunnel.1 en punto a multipunto

(p2mp) para cumplir con los requisitos de su red.

WebUI

Network > Interface > Edit > OSPF: Seleccione Point-to-Multipoint de la lista

de botones de opción “Link Type”.

CLI

set interface tunnel.1 protocol ospf link-type p2mp

save

Inhabilitación de la restricción Route-Deny

De forma predeterminada, el dispositivo de seguridad puede enviar y recibir paquetes a

través de la misma interfaz a menos que esté configurado explícitamente para no enviarlos

y recibirlos en la misma interfaz. En un entorno punto a multipunto, este comportamiento

31

puede ser deseable. Para configurar el dispositivo de seguridad para enviar y recibir en la

misma interfaz, debe inhabilitar la restricción route-deny. En este ejemplo inhabilitará la

restricción route-deny mediante CLI en la interfaz de túnel punto a multipunto tunnel.1.

Creación de una red punto a multipunto

La Figura 12 muestra una empresa de tamaño mediano con su oficina central (OC) en San

Francisco y delegaciones en Chicago, Los Angeles, Montreal y Nueva York.

Cada oficina tiene un solo dispositivo de seguridad.

Los siguientes son los requisitos de configuración específicos del dispositivo de seguridad

en la OC:

1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a

continuación, configurar la interfaz tunnel.1.

2. Configurar las cuatro VPN y asociarlas a la interfaz tunnel.1.

Los siguientes son los requisitos de configuración propios de los dispositivos de seguridad

remotos:

1. Configurar el VR para que ejecute una instancia de OSPF, habilitar OSPF y, a

continuación, configurar la interfaz tunnel.1.

2. Configurar la VPN y asociarla a la interfaz tunnel.1.

Los valores de temporizadores para todos los dispositivos deben coincidir para quelas

adyacencias puedan formarse. La Figura 1 muestra el escenario descrito de lared.

Figura1: se originan cuatro VPN en el dispositivo de seguridad de San

Francisco e irradian hacia las oficinas remotas en Nueva York. Los Ángeles.

Montreal y Chicago.

32

En este ejemplo, configurará los siguientes ajustes en el dispositivo de seguridad de la

oficina central OC:

1. Interfaces y zona de seguridad

2. VPN

3. Rutas y OSPF

Para completar la configuración de la red, configurará los siguientes ajustes en cada uno de

los cuatro dispositivos de seguridad de las oficinas remotas:

1. Interfaz y OSPF

2. VPN

3. Directiva

33

CONCLUSIONES

Los dispositivos de seguridad de Juniper Networks admiten los siguientes tipos de redes OSPF

Redes de difusión, Redes punto a punto y Redes punto a multipunto.

OSPF es una solución de enrutamiento escalable para lacada vez mayor de las redes IP

actuales. Su topología compleja y descriptiva la publicidad y el concepto de áreas de

encaminamiento jerárquicos satisfacen la demandas de la red más diversificada diseños.

Convergencia rápida y el solidez de la base de datos de estado de enlace intercambios son las

principales características de OSPF redes. También es importante OSPF la mejora del diseño de

seguridad de red. Contadas las características y capacidades mejoradas de redes OSPF, una

prueba adecuada metodología es esencial para ayudar a la red OSPF es una solución de

enrutamiento escalable para lacada vez mayor de las redes IP actuales. Su topología compleja

y descriptiva la publicidad y el concepto de áreas de encaminamiento jerárquicos satisfacen la

demandas de la red más diversificada diseños. Convergencia rápida y la solidez de la base de

datos de estado de enlace Intercambios son las principales características de OSPF redes.

También es importante OSPF la mejora del diseño de seguridad de red. Contadas las

características y capacidades mejoradas de redes OSPF, una prueba adecuada metodología es

esencial para ayudar a la red Como ya vimos OSPF es un modelo que esta mejorado porque

como va pasando el tiempo van implementando otros modelos más mejorados que este, pero

en este caso en los conocimientos lo implementamos en la práctica.

En comparación con RIP v1 y v2, OSPF es el IGP preferido porque es escalable. RIP se limita a

15 saltos, converge lentamente y a veces elige rutas lentas porque pasa por alto ciertos

factores críticos como por ejemplo el ancho de banda a la hora de determinar la ruta. OSPF ha

superado estas limitaciones y se ha convertido en un protocolo de enrutamiento sólido y

escalable adecuado para las redes modernas. OSPF se puede usar y configurar en una sola área

en las redes pequeñas.

OSPF demuestra ser un protocolo mas optimo para redes grandes, brinda mayor seguridad,

además de ser un protocolo de estado de enlace, que a diferencia de RIP que es un protocolo

vector distancia, resulta más efectivo en la comunicacion con los routers dentro de una red

amplia, la seguridad de las tablas de enrutamiento es esencial en una red, OSPF cubre las

necesidades de una red amplia y esta solo se limitara por los saltos permitidos por internet y

34

no por el mismo protocolo, comunicándose solamente con los routers vecinos, el

inconveniente de este protocolo es que puede resultar lento, debido a los saltos, y por ser un

protocolo utilizado para redes amplias.

35

ANEXOS

36

A continuación se muestra una relación de fuentes de apreciaciones de donde fue recopilada la información en mención en esta monografía.

Apéndice A: Página de Juniper Networks:

http://www.juniper.net

http://www.juniper.net/

37

Apéndice B: Configuración de OSPF:

http://www.redes-linux.com/manuales/routing/PIAM-Lab-4-OSPF-1.pdf

http://nahum8a.wordpress.com/2009/06/17/practica-7-ospf/

http://www.redes-linux.com/manuales/routing/PIAM-Lab-4-OSPF-1.pdf

http://nahum8a.wordpress.com/2009/06/17/practica-7-ospf/

38

Apéndice C:

Comandos de configuración de la red de San Francisco

WebUI (dispositivo de la oficina central)


Network > Interfaces > Haga clic en New Tunnel IF y continúe en la páginade configuración.

Network > Interfaces > Edit (para ethernet3) y configure la zona y la direcciónIP.

Network > Interface > Edit (para tunnel.1) > OSPF: Seleccione

Point-to-Multipoint de la lista de botones de opción “Link Type”.

2. VPN

VPNs > AutoKey Advanced > Gateway

3. Rutas y OSPF

Network > Routing > Virtual Routers > Haga clic en Edit para el enrutadorvirtual y configure

los parámetros de OSPF.

CLI (dispositivo de la oficina central)


set interface ethernet3 zone untrust

set interface ethernet3 ip 1.1.1.1/24

set interface tunnel.1 zone untrust

set interface tunnel.1 ip 10.10.10.1/24

2. VPN

set ike gateway gw1 address 2.2.2.2 main outgoing-interface ethernet3 preshareospfp2mp

proposal pre-g2-3des-sha





39



set vpn vpn1 gateway gw1 no-replay tunnel idletime 0 proposal g2-esp-3des-sha

set vpn vpn1 monitor rekey

set vpn1 id 1 bind interface tunnel.1










40

Apéndice D:

Links de interés:

http://www.cisco.com/warp/public/104/1.html

http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/ospf.html

http://www.freesoft.org/CIE/Topics/89.html

http://www.faqs.org/rfcs/rfc1583.html

http://www.cisco.com/warp/public/104/1.html

http://www.cisco.com/univercd/cc/td/doc/cisintwk/ito_doc/ospf.html

http://www.freesoft.org/CIE/Topics/89.html

http://www.faqs.org/rfcs/rfc1583.html

41

BIBLIOGRAFIA

“Conceptos y ejemplosManual de referencia de ScreenOS”Volumen 7, Versión 6

“Redes de Computadores: un enfoque descendente basado enInternet”. J.J.

Kurose y K.W. Ross. Pearson Educación, 2ªedición.

“Redes de Computadores”, Andrew S. Tanenbaum, Prentice Hall,4ª edición.

“RFC 1403. The Internet Society”. BGP OSPF Interaction

“RFC 1584. The Internet Society”. Multicast Extensions to OSPF.

“RFC 1586. The Internet Society”. Guidelines for Running OSPF Over Frame relay

Networks

Technology

Protocolos de enrutamiento: abrir la ruta mas corta