Fundamentos Ce v2 SP

Concepts & Examples
ScreenOS Reference Guide
Volumen 2:
Fundamentos
Versin 5.3.0, Rev. B
Juniper Networks, Inc.

1194 North Mathilda Avenue
Sunnyvale, CA 94089
USA
408-745-2000
www.juniper.net
Nmero de pieza: 093-1660-000-SP, Revisin B
Copyright Notice
Copyright 2005 Juniper Networks, Inc. All rights reserved.
Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other
trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective
owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for
any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication
without notice.
FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A
digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the
equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and
used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential
area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense.
The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency
energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception.
This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC
rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no
guarantee that interference will not occur in a particular installation.
If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user
is encouraged to try to correct the interference by one or more of the following measures:
Reorient or relocate the receiving antenna.
Increase the separation between the equipment and receiver.
Consult the dealer or an experienced radio/TV technician for help.
Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.
Caution: Changes or modifications to this product could void the user's warranty and authority to operate this device.
Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED
WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED
WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.
Writers: Anita Davey, Carrie Nowocin, Jozef Wroblewski

Editor: Lisa Eldridge
ii
Contenido
Acerca de este volumen
ix
Convenciones del documento .......................................................................... x

Convenciones de la interfaz de lnea de comandos (CLI) ........................... x
Convenciones para las ilustraciones ......................................................... xi
Convenciones de nomenclatura y conjuntos de caracteres ...................... xii
Convenciones de la interfaz grfica (WebUI) .......................................... xiii
Documentacin de Juniper Networks ............................................................ xiv
Captulo 1
Arquitectura de ScreenOS
Zonas de seguridad .......................................................................................... 2

Interfaces de zonas de seguridad ..................................................................... 3
Interfaces fsicas ........................................................................................ 3
Subinterfaces............................................................................................. 4
Enrutadores virtuales ....................................................................................... 4
Directivas......................................................................................................... 5
Redes privadas virtuales................................................................................... 7
Sistemas virtuales .......................................................................................... 10
Secuencia de flujo de paquetes ...................................................................... 11
Ejemplo: (Parte 1) Empresa con seis zonas.............................................. 14
Ejemplo: (Parte 2) Interfaces para seis zonas........................................... 16
Ejemplo: (Parte 3) Dos dominios de enrutamiento .................................. 18
Ejemplo: (Parte 4) Directivas ................................................................... 20
Captulo 2
Zonas
25
Visualizar las zonas preconfiguradas .............................................................. 26

Zonas de seguridad ........................................................................................ 28
Zona Global ............................................................................................. 28
Opciones SCREEN ................................................................................... 28
Enlazar una interfaz de tnel a una zona de tnel.......................................... 28
Configuracin de zonas de seguridad y zonas de tnel .................................. 30
Crear una zona ........................................................................................ 30
Modificar una zona.................................................................................. 31
Eliminar una zona ................................................................................... 32
Zonas de funcin ........................................................................................... 32
Zona Null................................................................................................. 32
Zona MGT................................................................................................ 32
Zona HA .................................................................................................. 33
Zona de registro propio ........................................................................... 33
Zona VLAN ..............................................................................................33
Modos de puerto ............................................................................................ 33
Modo Trust-Untrust.................................................................................. 34
Modo Home-Work ................................................................................... 35
Modo Dual Untrust .................................................................................. 36
Contenido
iii
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreenOS: conceptos y ejemplos)
Modo combinado .................................................................................... 37

Modo Trust/Untrust/DMZ (extendido) ...................................................... 38
Modo DMZ/Dual Untrust .......................................................................... 38
Modo Dual DMZ ...................................................................................... 39
Establecer los modos de puertos .................................................................... 40
Ejemplo: Modo de puerto Home-Work.............................................. 40
Zonas en los modos Home-Work y Combined Port ................................. 41
Ejemplo: Zonas Home-Work ............................................................. 42
Captulo 3
Interfaces
45
Tipos de interfaces......................................................................................... 45
Interfaces de la zona de seguridad........................................................... 45
Interfaces fsicas ............................................................................... 45
Subinterfaces .................................................................................... 46
Interfaces agregadas ......................................................................... 46
Interfaces redundantes...................................................................... 46
Interfaces de seguridad virtuales ....................................................... 47
Interfaces de zonas de funcin ................................................................ 47
Interfaces de administracin ............................................................. 47
Interfaces de alta disponibilidad........................................................ 47
Interfaces de tnel................................................................................... 48
Eliminar interfaces de tnel .............................................................. 51
Visualizacin de interfaces ............................................................................. 52
Configuracin de interfaces de la zona de seguridad...................................... 53
Asociacin de una interfaz a una zona de seguridad................................ 54
Separar una interfaz de una zona de seguridad ....................................... 54
Direccionar una interfaz de la zona de seguridad L3 ............................... 54
Direcciones IP pblicas ..................................................................... 55
Direcciones IP privadas..................................................................... 56
Direccionar una interfaz.................................................................... 56
Modificar los ajustes de la interfaz........................................................... 56
Crear una subinterfaz en el sistema raz .................................................. 57
Eliminar una subinterfaz ......................................................................... 58
Crear una direccin IP secundaria.................................................................. 59
Interfaces de bucle invertido (loopback)......................................................... 60
Crear una interfaz de bucle invertido....................................................... 60
Ajustar la interfaz de bucle invertido para Administracin.......................61
Ajustar BGP en una interfaz de bucle invertido ........................................ 61
Ajustar VSI en una interfaz de bucle invertido ......................................... 62
Ajustar la interfaz de bucle invertido como interfaz de origen ................. 62
Cambios de estado de la interfaz ................................................................... 62
Supervisin de la conexin fsica ............................................................. 64
Dar seguimiento a direcciones IP ............................................................ 65
Supervisin de interfaces......................................................................... 70
Supervisin de dos interfaces............................................................ 71
Supervisar un bucle de interfaz ......................................................... 72
Supervisin de zonas de seguridad .......................................................... 75
Interfaces inactivas y flujo de trfico ....................................................... 75
Fallo en la interfaz de salida.............................................................. 76
Fallo en la interfaz de entrada........................................................... 78
iv
Contenido
Contenido
Captulo 4
Modos de las interfaces
81
Modo transparente......................................................................................... 82
Ajustes de zona ....................................................................................... 83
Zona VLAN........................................................................................ 83
Zonas de capa 2 predefinidas............................................................ 83
Reenvo de trfico ................................................................................... 83
Opciones unicast desconocidas ............................................................ 84
Mtodo de inundacin ...................................................................... 85
Mtodo ARP/Trace-Route .................................................................. 86
Configuracin de la interfaz VLAN1 para administracin .................. 89
Configuracin del modo transparente ............................................... 91
Modo NAT...................................................................................................... 94
Trfico NAT entrante y saliente ............................................................... 96
Ajustes de interfaz ................................................................................... 97
Configuracin del modo NAT................................................................... 97
Modo de ruta ...............................................................................................100
Ajustes de interfaz .................................................................................101
Configuracin del modo de ruta ............................................................101
Captulo 5
Bloques para la construccin de directivas
105
Direcciones ..................................................................................................106
Entradas de direcciones.........................................................................106
Modificar una direccin...................................................................107
Eliminar una direccin ....................................................................107
Grupos de direcciones ...........................................................................108
Editar una entrada de grupo de direcciones ....................................110
Eliminar un miembro y un grupo ....................................................110
Servicios ......................................................................................................111
Servicios predefinidos............................................................................111
Protocolo de mensajes de control de Internet .................................112
Servicios de llamadas de procedimiento remoto de Microsoft.........117
Protocolo de enrutamiento dinmico ..............................................119
Vdeo de secuencia .........................................................................119
Servicios de llamadas de procedimiento remoto de Sun .................120
Servicios de tnel y seguridad .........................................................121
Servicios relacionados con IP ..........................................................121
Servicios de administracin: ...........................................................122
Servicios de correo..........................................................................123
Servicios miscelneos .....................................................................124
Servicios personalizados........................................................................125
Agregar un servicio personalizado...................................................126
Modificar un servicio personalizado ................................................126
Eliminar un servicio personalizado..................................................127
Establecer el tiempo de espera de un servicio .......................................127
Bsqueda y configuracin de tiempo de espera de servicio.............127
Ejemplo...........................................................................................130
Definir un Servicio de protocolo de mensaje de control de Internet
personalizado..................................................................................130
Puerta de enlace "Remote Shell" en la capa de aplicacin ....................131
Sun Remote Procedure Call Application Layer Gateway.........................131
Situacin tpica de llamadas RPC ....................................................131
Personalizar los Servicios Sun RPC..................................................132
Contenido
Personalizar Microsoft Remote Procedure Call

Application Layer Gateway..............................................................133
La Puerta de enlace de la capa de aplicacin del Protocolo
de secuencia en tiempo real............................................................134
Mtodos de peticin RTSP...............................................................135
Cdigos de estado de RTSP .............................................................137
Configurar un servidor de medios en un dominio pblico...............140
Grupos de servicios................................................................................142
Modificar un grupo de servicios ......................................................143
Eliminar un grupo de servicios ........................................................144
Grupo de IP dinmico ..................................................................................144
Traduccin de direcciones de puertos....................................................145
Crear un rango DIP con PAT..................................................................146
Modificar un conjunto de DIP ................................................................147
Direcciones DIP sticky........................................................................147
Usar DIP en otra subred ........................................................................148
Utilizar un DIP en una Interfaz Loopback ..............................................153
Crear un grupo de DIP ...........................................................................157
Configurar una programacin recurrente .....................................................160
Captulo 6
Directivas
163
Elementos bsicos .......................................................................................164

Tres tipos de directivas ................................................................................165
Directivas entre zonas ...........................................................................165
Directivas dentro de zonas ....................................................................165
Directivas globales.................................................................................166
Listas de conjuntos de directivas ..................................................................167
Definicin de directivas................................................................................168
Directivas y reglas .................................................................................168
Anatoma de una directiva.....................................................................169
ID....................................................................................................170
Zonas ..............................................................................................170
Direcciones .....................................................................................170
Servicios .........................................................................................170
Nombre...........................................................................................172
Encapsulamiento VPN.....................................................................172
Encapsulamiento L2TP....................................................................173
Deep Inspection ..............................................................................173
Colocacin al principio de la lista de directivas ...............................173
Traduccin de direcciones de origen ...............................................174
Traduccin de direcciones de destino .............................................174
Autenticacin de usuarios ...............................................................174
Copia de seguridad de la sesin HA ................................................176
Filtrado de Web ..............................................................................176
Registro...........................................................................................176
Recuento.........................................................................................177
Umbral de alarma de trfico ...........................................................177
Tareas programadas........................................................................177
Anlisis antivirus .............................................................................177
Asignacin de trfico.......................................................................178
Directivas aplicadas .....................................................................................179
Visualizacin de directivas.....................................................................179
vi
Contenido
Contenido
Creacin de directivas ...........................................................................179

Crear servicio de correo de directivas entre zonas ..........................179
Crear un conjunto de directivas entre zonas ...................................182
Crear directivas dentro de zonas .....................................................187
Crear una directiva global ...............................................................188
Entrada al contexto de una directiva .....................................................189
Varios elementos por componente de directiva .....................................190
Ajustar la negacin de direcciones.........................................................191
Modificacin y desactivacin de directivas ............................................194
Verificacin de directivas.......................................................................194
Reordenar directivas..............................................................................195
Eliminar una directiva ...........................................................................196
Captulo 7
Asignacin de trfico
197
Administracin del ancho de banda a nivel de directivas .............................197

Ajuste de la asignacin de trfico .................................................................198
Establecimiento de las prioridades del servicio ............................................202
Ajuste de las colas de prioridades.................................................................203
Directivas de ingreso....................................................................................206
Asignacin de trfico en interfaces virtuales ................................................207
Asignacin del trfico a nivel de interfaz ...............................................207
Asignacin del trfico a nivel de directiva..............................................209
Flujo de paquetes ..................................................................................210
Ejemplo: VPN basada en rutas con directivas de ingreso .......................210
Ejemplo: VPN basada en directivas con directivas de ingreso................214
Asignacin de trfico utilizando una interfaz Loopback................................217
Asignacin y marcado DSCP ........................................................................217
Captulo 8
Parmetros del sistema
221
Compatibilidad con DNS (sistema de nombres de dominio) ........................221

Consulta DNS ........................................................................................222
Tabla de estado de DNS.........................................................................223
Ajuste del servidor DNS y programacin de actualizaciones............224
Establecer un intervalo de actualizacin de DNS .............................224
Sistema de nombres de dominio dinmico............................................224
Configuracin del DDNS para un servidor DynDNS.........................225
Configuracin del DDNS para un servidor DDO ..............................226
Divisin de direcciones DNS del proxy ..................................................227
Protocolo de configuracin dinmica de hosts .............................................229
Configurar un servidor DHCP ................................................................230
Personalizar opciones de servidor DHCP.........................................234
Colocacin del servidor DHCP en un clster de NSRP .....................236
Deteccin del servidor DHCP ..........................................................236
Activacin de deteccin del servidor DHCP.....................................236
Desactivacin de deteccin del servidor DHCP ...............................237
Asignacin de un dispositivo de seguridad como agente
de retransmisin de DHCP..............................................................237
Utilizar un dispositivo de seguridad como un cliente DHCP...................241
Transmisin de ajustes TCP/IP...............................................................243
Protocolo punto a punto sobre Ethernet.......................................................245
Configurar PPPoE ..................................................................................246
Configurar PPPoE en las interfaces principal y de respaldo de la
zona Untrust ...................................................................................249
Contenido
vii
Configuracin de mltiples sesiones PPPoE a travs

de una sola interfaz.........................................................................250
PPPoE y alta disponibilidad ...................................................................252
Claves de licencia.........................................................................................253
Registro y activacin de los servicios de suscripcin ....................................254
Servicio de prueba.................................................................................254
Actualizacin de claves de suscripcin...................................................255
Agregar un antivirus, filtrado web, anti-Spam
(contra bombardeo de publicidad) y ID
(Deep Inspection) a un dispositivo nuevo o existente......................255
Reloj del sistema ..........................................................................................256
Fecha y hora..........................................................................................256
Huso horario..........................................................................................256
Protocolo de hora de la red....................................................................257
Configuracin de mltiples servidores NTP .....................................257
Configurar un servidor de respaldo del protocolo de hora
de la red ...................................................................................257
Desfase temporal mximo ..............................................................258
Protocolos NTP y NSRP ...................................................................259
Ajuste de un valor de desfase horario mximo
en un servidor NTP...................................................................259
Asegurar los servidores NTP............................................................260
ndice ........................................................................................................................IX-I
viii
Contenido

Volumen 2: Fundamentos describe la arquitectura de ScreenOS y sus elementos,
incluyendo ejemplos de configuracin de algunos de ellos. Este volumen contiene
los siguientes captulos:
Captulo 1, En Arquitectura de ScreenOS, se describen los elementos

fundamentales de la arquitectura de ScreenOS y se incluye con un ejemplo de
cuatro partes con el que se ilustra una configuracin empresarial que incorpora
la mayor parte de dichos elementos. En ste y en todos los captulos siguientes,
cada concepto va acompaado de ejemplos ilustrativos.
Captulo 2, En Zonas, se explican las zonas de seguridad, las zonas de tnel y

las zonas de funcin.
Captulo 3, Interfaces, describe las diferentes interfaces fsicas, lgicas y

virtuales de los dispositivos de seguridad.
Captulo 4, En Modos de las interfaces, se explican los conceptos

relacionados con los modos de funcionamiento de interfaz transparente, NAT
(Network Address Translation) y de rutas.
Captulo 5, En Bloques para la construccin de directivas, se explican los

elementos utilizados para crear directivas y redes privadas virtuales (Virtual
Private Network o VPN): direcciones (incluyendo direcciones VIP), servicios y
conjuntos de DIP. Tambin se incluyen diversos ejemplos de configuracin
compatibles con el protocolo H.323.
Captulo 6, En Directivas, se examinan los componentes y las funciones de

las directivas y se ofrecen instrucciones para su creacin y aplicacin.
Captulo 7, Asignacin de trfico, En se explica cmo gestionar el ancho de

banda en los niveles de interfaz y directivas y cmo priorizar servicios.
Captulo 8, En Parmetros del sistema, se describen los conceptos

relacionados con el direccionamiento de sistemas de nombres de dominio
(Domain Name System o DNS), el uso del protocolo dinmico de
configuracin de host (Dynamic Host Configuration Protocol o DHCP) para
asignar o retransmitir ajustes TCP/IP, la carga y descarga de configuraciones del
sistema y software y el ajuste del reloj del sistema.
ix
Convenciones del documento

Este documento utiliza distintos tipos de convenciones, que se explican en las
siguientes secciones:
Convenciones de la interfaz de lnea de comandos (CLI) en esta pgina
Convenciones para las ilustraciones en la pgina xi
Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii
Convenciones de la interfaz grfica (WebUI) en la pgina xiii
Convenciones de la interfaz de lnea de comandos (CLI)

Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos
de CLI en ejemplos y en texto.
En ejemplos:
Los elementos entre corchetes [ ] son opcionales.
Los elementos entre llaves { } son obligatorios.
Si existen dos o ms opciones alternativas, aparecern separadas entre s por

barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage
significa establecer las opciones de administracin de la interfaz ethernet1,

ethernet2 o ethernet3.
Las variables aparecen en cursiva:

set admin user nombre1 contrasea xyz
En texto:
NOTA:
Los comandos aparecen en negrita.
Las variables aparecen en cursiva.
Para escribir palabras clave, basta con introducir los primeros caracteres que
permitan al sistema reconocer de forma inequvoca la palabra que se est
introduciendo. Por ejemplo, es suficiente introducir set adm u kath j12fmt54
para que el sistema reconozca el comando set admin user kathleen j12fmt54.
Aunque este mtodo se puede utilizar para introducir comandos, en la presente
documentacin todos ellos se representan con sus palabras completas.
Convenciones para las ilustraciones

Las siguientes figuras conforman el conjunto bsico de imgenes utilizado en las
ilustraciones de este manual.
Figura 1: Imgenes en las ilustraciones del manual
Sistema autnomo
Red de rea local (LAN) con

una nica subred (ejemplo:
10.1.1.0/24)
Dispositivo de seguridad general

Internet
Dominio de enrutamiento virtual

Rango de direcciones IP
dinmicas (DIP)
Zona de seguridad
Interfaz de la zona de seguridad

Blanca = Interfaz de zona protegida
(ejemplo = zona Trust)
Negro = interfaz de zona externa
(ejemplo = zona Untrust)
Interfaz de tnel
Equipo de escritorio
Equipo porttil
Dispositivo de red genrico

(ejemplos: servidor NAT,
concentrador de acceso)
Servidor
Tnel VPN
Concentrador (hub)
Enrutador
Telfono IP
Conmutador
xi
Convenciones de nomenclatura y conjuntos de caracteres

ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos
(como direcciones, usuarios administradores, servidores de autenticacin, puertas
de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las
configuraciones de ScreenOS:
Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber

estar entre comillas dobles ( ); por ejemplo:
set address trust local LAN 10.1.1.0/24
Cualquier espacio al comienzo o al final de una cadena entrecomillada se

elimina; por ejemplo, local LAN se transformar en local LAN.
Los espacios consecutivos mltiples se tratan como uno solo.
En las cadenas de nombres se distingue entre maysculas y minsculas; por el

contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente.
Por ejemplo, local LAN es distinto de local lan.
ScreenOS admite los siguientes conjuntos de caracteres:
NOTA:
xii
Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de

mltiples bytes (MBCS). Algunos ejemplos de SBCS son los juegos de caracteres
ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como
conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el
coreano y el japons.
Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin

de las comillas dobles ( ), que tienen un significado especial como
delimitadores de cadenas de nombres que contengan espacios.
Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto
SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.
Convenciones de la interfaz grfica (WebUI)

Una comilla angular ( > ) muestra la secuencia de navegacin a travs de WebUI, a
la que puede llegar mediante un clic en las opciones de men y vnculos. La
siguiente figura indica la siguiente ruta al cuadro de dilogo de configuracin de
direccionesObjects > Addresses > List > New:
Figura 2: Navegacin de WebUI
Para llevar a cabo una tarea en la WebUI, en primer lugar debe acceder al cuadro de
dilogo apropiado, donde podr definir objetos y establecer parmetros de ajuste.
El conjunto de instrucciones de cada tarea se divide en ruta de navegacin y
establecimientos de configuracin:
La siguiente figura muestra la ruta al cuadro de dilogo de configuracin de
direcciones con los siguientes ajustes de configuracin de muestra:
Objects > Addresses > List > New: Introduzca los siguientes datos y haga clic
en OK:
Nombre de direccin: addr_1
IP Address/Domain Name:
IP/Netmask: (seleccione), 10.2.2.5/32
Zona: Untrust
Figura 3: Ruta de navegacin y ajustes de configuracin
xiii
Documentacin de Juniper Networks

Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks,
visite www.juniper.net/techpubs/.
Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo
Case Manager en la pgina web http://www.juniper.net/support/ o llame al
telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama
desde fuera de los EE.UU.).
Si encuentra algn error u omisin en este documento, pngase en contacto con
nosotros a travs de la siguiente direccin de correo electrnico:
techpubs-comments@juniper.net
xiv
Documentacin de Juniper Networks
Captulo 1
Arquitectura de ScreenOS
La arquitectura del sistema ScreenOS de Juniper Networks ofrece una gran
flexibilidad a la hora de disear la estructura de seguridad de una red. En los
dispositivos de seguridad de Juniper Networks con ms de dos interfaces es posible
crear numerosas zonas de seguridad y configurar directivas para regular el trfico
dentro de una zona (trfico intrazonal) y entre zonas distintas (trfico interzonal).
Puede enlazar una o varias interfaces a cada zona y habilitar en cada zona un
conjunto distinto de opciones de administracin y de vigilancia de ataques a la
pared de fuego. Bsicamente, ScreenOS permite crear el nmero de zonas que cada
entorno de red necesita, asignar el nmero de interfaces que cada zona necesita y
disear cada interfaz segn las necesidades especficas.
En este captulo se presenta ScreenOS, describiendo los siguientes componentes
principales:
Zonas de seguridad en la pgina 2
Interfaces de zonas de seguridad en la pgina 3
Enrutadores virtuales en la pgina 4
Directivas en la pgina 5
Redes privadas virtuales en la pgina 7
Sistemas virtuales en la pgina 10
Adems, para ayudarle a comprender mejor el mecanismo que utiliza ScreenOS

para procesar el trfico, en la seccin Secuencia de flujo de paquetes en la
pgina 11 ver la secuencia de flujo de un paquete entrante.
El captulo concluye con un ejemplo en cuatro partes que ilustra la configuracin
bsica de un dispositivo de seguridad utilizando ScreenOS:
Ejemplo: (Parte 1) Empresa con seis zonas en la pgina 14
Ejemplo: (Parte 2) Interfaces para seis zonas en la pgina 16
Ejemplo: (Parte 3) Dos dominios de enrutamiento en la pgina 18
Ejemplo: (Parte 4) Directivas en la pgina 20
Concepts & Examples ScreenOS Reference Guide (Manual de referencia de ScreeOS: conceptos y ejemplos)
Zonas de seguridad
Una zona de seguridad es un conjunto de uno o varios segmentos de red, lo que
requiere regular el trfico entrante y saliente por medio de directivas (consulte
Directivas en la pgina 5). Las zonas de seguridad son entidades lgicas que
tienen asociadas una o varias interfaces. Si dispone de distintos tipos de
dispositivos de seguridad de Juniper Networks, podr definir mltiples zonas de
seguridad, dependiendo su nmero exacto de las necesidades de su red. Adems de
las zonas definidas por el usuario, tambin puede utilizar las zonas predefinidas:
Trust, Untrust y DMZ (para el funcionamiento de la capa 3), o V1-Trust, V1-Untrust y
V1-DMZ (para el funcionamiento de la capa 2). Si lo desea, puede seguir utilizando
slo las zonas predefinidas. Tambin puede ignorar las zonas predefinidas y utilizar
exclusivamente las zonas definidas por el usuario. Tambin es posible utilizar los
dos tipos de zonas (predefinidas y definidas por el usuario) simultneamente. Esta
flexibilidad en la configuracin de las zonas permite disear la red que mejor
responda a sus necesidades especficas. Consulte Figura 4.
NOTA:
La nica zona de seguridad que no necesita ningn segmento de red es la zona

global. (Para obtener ms informacin, consulte Zona Global en la pgina 28). A
efectos prcticos, se considera que una zona sin interfaces asociadas y sin
entradas de libreta de direcciones no contiene segmentos de red.
Si actualiza una antigua versin de ScreenOS, todas las configuraciones de las
zonas correspondientes permanecern intactas.
No es posible eliminar las zonas de seguridad predefinidas. Por el contrario, s se
pueden eliminar las zonas definidas por el usuario. Cuando se elimina una zona
de seguridad, se eliminan automticamente todas las direcciones configuradas
para esa zona.
Figura 4: Zonas de seguridad predefinidas

Una red configurada con cinco zonas
de seguridad, tres zonas
predeterminadas (Trust, Untrust, DMZ)
y dos zonas definidas por el usuario.
(Finance, Eng).
El trfico pasa de una zona de
seguridad a otra nicamente si
lo permite una directiva.
Finance
Untrust
Trust
Motor de la
directiva
Eng
Zonas de seguridad
Dispositivo
de seguridad
DMZ
Captulo 1: Arquitectura de ScreenOS
Interfaces de zonas de seguridad

Cada interfaz de una zona de seguridad es como una puerta que el trfico TCP/IP
debe cruzar para pasar de una zona a otra.
Mediante las directivas que usted defina, podr permitir que el trfico entre zonas
fluya en un solo sentido o en ambos. Al definir las rutas, estar especificando las
interfaces que el trfico tendr que utilizar para pasar de una zona a otra. Como es
posible asociar mltiples interfaces a una zona, las rutas diseadas tienen una gran
importancia a la hora de dirigir el trfico a las interfaces deseadas.
NOTA:
Para intercambiar trfico entre dos interfaces asociadas a una misma zona no se
requiere ninguna directiva, ya que ambas tendrn el mismo nivel de seguridad.
ScreenOS necesita directivas para controlar el trfico entre zonas, no dentro de
ellas.
Para permitir que el trfico pase de una zona a otra, debe asociar una interfaz a la
zona y, en el caso de una interfaz en modo de ruta o en modo NAT (consulte
Modos de las interfaces en la pgina 81), asignar una direccin IP a la interfaz.
Dos tipos de interfaz comnmente utilizados son las interfaces fsicas y, en
dispositivos que admitan sistemas virtuales, las subinterfaces (es decir, la
realizacin de una interfaz fsica en la capa 2). Para obtener ms informacin,
consulte Interfaces en la pgina 45.
Interfaces fsicas
Una interfaz fsica se refiere a los componentes fsicamente presentes en el
dispositivo de seguridad. Las convenciones de nomenclatura de interfaces difieren
de un dispositivo a otro. En el dispositivo NetScreen-500, por ejemplo, una interfaz
fsica se identifica por la posicin de un mdulo de interfaz y un puerto Ethernet en
ese mdulo. Por ejemplo, la interfaz ethernet1/2 designa el mdulo de interfaz
situado en el primer bastidor (ethernet1/2) y en el segundo puerto (ethernet1/2).
Consulte Figura 5.
Figura 5: Asignaciones de las interfaces fsicas
NOTA:
1/1
1/2
3/1
3/2
2/1
2/2
4/1
4/2
Para conocer la convencin de nomenclatura de un dispositivo de seguridad

determinado, consulte el manual de usuario de dicho dispositivo.
Interfaces de zonas de seguridad
Subinterfaces
En los dispositivos que admiten redes LAN virtuales (VLAN), una interfaz fsica se
puede dividir lgicamente en varias subinterfaces virtuales, que ocupan el ancho de
banda que precisan en cada momento de la interfaz fsica de la que proceden. Una
subinterfaz es un elemento abstracto con funciones idnticas a las de una interfaz
fsica, de la que se diferencia por el etiquetado VLAN 802.1Q. El dispositivo de
seguridad dirige el trfico desde o hacia una zona con subinterfaz a travs de su
direccin IP y su etiqueta VLAN. Por razones prcticas, los administradores
normalmente utilizan el mismo nmero para la etiqueta VLAN y para la subinterfaz.
Por ejemplo, la interfaz ethernet1/2 con la etiqueta VLAN 3 se llamar ethernet1/2.3.
As se identifica el mdulo de interfaz que se encuentra en el primer bastidor, el
segundo puerto del mdulo y la subinterfaz nmero 3 (ethernet1/2.3).
NOTA:
802.1Q es una norma IEEE que define los mecanismos para implementar redes
LAN virtuales enlazadas y los formatos de trama Ethernet utilizados para indicar la
pertenencia a una VLAN mediante etiquetas VLAN.
Observe que aunque una subinterfaz comparte parte de su identidad con una
interfaz fsica, la zona a la que se asocia es independiente de la zona a la que se
asocia la interfaz fsica. Puede asociar la subinterfaz ethernet1/2.3 a una zona
distinta de la utilizada para la interfaz fsica ethernet1/2 o a la que desee asociar
ethernet1/2.2. Asimismo, no hay restricciones en cuanto a la asignacin de
direcciones IP. El trmino subinterfaz no implica que su direccin se encuentre en
una subred dentro del espacio de direcciones de la interfaz fsica. Consulte Figura 6.
Figura 6: Asignaciones de subinterfaces

1/1.1
1/1.2
1/2.1
1/2.2
3/1.1
3/1.2
3/1.3
3/2.1
3/2.2
3/2.3
1/1
1/2
3/1
3/2
2/1
2/2
4/1
4/2
2/1.1
2/1.2
2/2.1
2/2.2
4/1.1
4/1.2
4/2.1
4/2.2
Enrutadores virtuales
Un enrutador virtual (VR) funciona como un enrutador. Dispone de sus propias
interfaces y de sus propias tablas de enrutamiento unicast y multicast. En
ScreenOS, un dispositivo de seguridad admite dos enrutadores virtuales
predefinidos. Esto permite al dispositivo de seguridad mantener dos tablas de
enrutamiento unicast y multicast independientes y ocultar la informacin de
enrutamiento de un enrutador al otro. Por ejemplo, untrust-vr se suele utilizar para
la comunicacin con interlocutores sin confianza, por lo que no contiene
informacin de enrutamiento para las zonas protegidas. La informacin de
enrutamiento de las zonas protegidas se actualiza por medio de trust-vr. Por lo
tanto, no es posible recopilar informacin interna de la red mediante la extraccin
encubierta de rutas de untrust-vr. Consulte Figura 7 en la pgina 5.
4
Enrutadores virtuales
Figura 7: Zonas de seguridad del enrutador virtual
Dominio de enrutamiento trust-vr
Dominio de enrutamiento untrust-vr
Finance
Untrust
Trust
Eng
DMZ
Nota: El icono del castillo

representa una interfaz en una
zona de seguridad.
Reenvo de rutas
Cuando hay dos enrutadores virtuales en un dispositivo de seguridad, el trfico no

se reenva automticamente entre las zonas que se encuentran en distintos VR,
incluso aunque existan directivas que permitan el trfico. Si desea intercambiar
trfico de datos entre enrutadores virtuales, tendr que exportar las rutas entre los
VR o configurar una ruta esttica en un VR que defina el otro VR como siguiente
salto ("next-hop"). Para ms informacin sobre el uso de enrutadores virtuales,
consulte Volumen 7: Enrutamiento.
Directivas
Los dispositivos de seguridad de Juniper Networks aseguran la red inspeccionando,
y luego permitiendo o denegando, todo intento de conexin que necesite pasar de
una zona de seguridad a otra.
De forma predeterminada, un dispositivo de seguridad denegar todo el trfico de
datos en todos los sentidos. La creacin de directivas permite controlar el flujo de
trfico entre zonas definiendo qu tipo de trfico puede pasar de los orgenes a los
destinos especificados y cundo. En el nivel ms permisivo, es posible permitir que
todo tipo de trfico pase de cualquier origen en una zona a cualquier destino en el
resto de zonas sin ninguna restriccin en el tiempo. En el nivel ms restrictivo, se
puede crear una directiva que slo permita un tipo de trfico entre un host
determinado en una zona y otro en otra zona durante un periodo programado.
Consulte Figura 8 en la pgina 6.
NOTA:
Ciertos dispositivos de seguridad se suministran con una directiva predeterminada

que permite cualquier trfico saliente de la zona Trust a la zona Untrust, pero
rechaza todo el trfico procedente de la zona Untrust y dirigido a la zona Trust.
Directivas
Figura 8: Directiva predeterminada

Acceso a Internet permisivo: cualquier servicio desde
cualquier punto de la zona Trust hacia cualquier punto
de la zona Untrust en cualquier momento
Acceso a Internet restrictivo: Servicio SMTP desde un servidor de

correo en la zona Trust a un servidor de correo en la zona Untrust
de 5:00 a.m. a 7:00 p.m.
Zona
Untrust
Zona
Untrust
Zona
Trust
Zona
Trust
Cada vez que un paquete intenta pasar de una zona a otra, o entre dos interfaces
enlazadas a la misma zona, el dispositivo de seguridad comprueba si en su lista de
directivas existe alguna que permita ese tipo de trfico (consulte Listas de
conjuntos de directivas en la pgina 167). Para que el trfico pueda pasar de una
zona de seguridad a otra (p. ej., de la zona A a la zona B), es necesario configurar
una directiva que permita que la zona A enve trfico a la zona B. Para que el trfico
pueda pasar en sentido inverso, se debe configurar otra directiva que permita el
trfico de la zona B a la zona A. Para que cualquier tipo de trfico pase de una zona
a otra, debe haber una directiva que lo permita. Asimismo, cuando est habilitado
el bloqueo intrazonal (bloqueo del interior de una zona), deber existir una directiva
que permita que el trfico pase de una interfaz a otra dentro de esa misma zona.
Directivas
Figura 9: Arquitectura de las directivas

Finance
Untrust
Motor de
directivas
Trust
DMZ
Eng
Nota: El icono del castillo

representa una interfaz en una
zona de seguridad.
Reenvo de rutas
NOTA:
Para obtener ms informacin sobre las directivas, consulte Directivas en la

pgina 163.
Si configura el enrutamiento multicast en un dispositivo de seguridad, puede que
tenga que configurar directivas multicast. De forma predeterminada, los
dispositivos de seguridad no permiten trfico de control multicast entre zonas. Por
trfico de control multicast se entienden los mensajes transmitidos por protocolos
multicast, tales como el multicast independiente del protocolo (Protocol
Independent Multicast o PIM). Las directivas multicast solamente controlan el flujo
del trfico de control multicast. Para permitir el trfico de datos (tanto unicast como
multicast) entre zonas, debe configurar directivas de la pared de fuego. (Para
obtener ms informacin sobre directivas multicast, consulte Directivas multicast
en la pgina 7-143).
Redes privadas virtuales

ScreenOS dispone de varias opciones para la configuracin de redes privadas
virtuales (VPN). Los dos tipos ms importantes son:
VPN basada en rutas: mediante una consulta de rutas se determina qu trfico

encapsular el dispositivo de seguridad. Las directivas permiten o deniegan el
trfico hacia el destino especificado en la ruta. Si la directiva permite el trfico y
la ruta hace referencia a una interfaz de tnel asociada a un tnel VPN, el
dispositivo de seguridad tambin encapsular dicho trfico. Esta configuracin
gestiona por separado la aplicacin de directivas de la aplicacin de tneles
VPN. Una vez configurados, estos tneles estarn disponibles como recursos
para asegurar el trfico que circula entre una zona de seguridad y otra.
VPN basada en directivas: mediante una consulta de directivas se determina

qu trfico encapsular el dispositivo de seguridad cuando la directiva haga
referencia a un tnel VPN determinado y se especifique tunnel como accin.
Una VPN basada en rutas es la opcin adecuada para configuraciones VPN punto a
punto, ya que es posible aplicar mltiples directivas al trfico que pasa a travs de
un nico tnel VPN. La VPN basada en directivas resulta adecuada para
configuraciones VPN de acceso telefnico, ya que el cliente de acceso telefnico
probablemente no dispone de una direccin IP interna hacia la que establecer una
ruta. Consulte Figura 10.
En las siguientes instrucciones se muestran los principales pasos a seguir para
configurar una VPN basada en rutas:
1. Cuando configure el tnel VPN (p. ej., vpn-to-SF, donde SF es el destino o
entidad final), especifique una interfaz fsica o una subinterfaz en el dispositivo
local como interfaz de salida. (El interlocutor remoto deber utilizar la direccin
IP de esta interfaz para configurar su puerta de enlace remota.)
2. Cree una interfaz de tnel (por ejemplo, tunnel.1) y asciela a una zona de
seguridad.
NOTA:
No es necesario asociar la interfaz de tnel a la misma zona a la que est

destinado el trfico de VPN. El trfico hacia cualquier zona puede acceder a una
interfaz de tnel siempre que haya alguna ruta que apunte a esa interfaz.
3. Asocie la interfaz de tnel tunnel.1 al tnel VPN vpn-to-SF.
4. Para dirigir el trfico a travs de este tnel, configure una ruta indicando que el
trfico hacia SF debe utilizar tunnel.1.
Figura 10: Trfico VPN
Zona de origen
Paquete enviado
Motor de
directivas
Interfaz
de tnel
Tnel VPN
tunnel.1
vpn a SF
Zona de destino
Tabla de
enrutamiento
Paquete entrando
Llegados a este punto, el tnel est listo para el trfico dirigido a SF. Ahora puede
crear entradas en la libreta de direcciones, como Trust LAN (10.1.1.0/24) y SF
LAN (10.2.2.0/24), y configurar directivas para permitir o bloquear distintos tipos
de trfico desde un origen especificado, como Trust LAN, y hacia un destino
especificado, como SF LAN. Consulte Figura 11 en la pgina 9.
Figura 11: Trfico VPN de la zona de seguridad Untrust

El dispositivo de seguridad local enruta el trfico desde la zona Trust a SF LAN, que se
encuentra en la zona Untrust, a travs de la interfaz tunnel.1. Como la interfaz tunnel.1 est
asociada al tnel VPN vpn-to-SF, el dispositivo encripta el trfico y lo enva a travs de ese tnel
al interlocutor remoto.

Para llegar a
1.1.1.0/24
SF LAN
10.2.2.0/24
utilice
eth1/2
Zona Untrust
Interfaz de salida
eth1/2, 1.1.1.1/24
10.2.2.0/24
tunnel.1
0.0.0.0/0
1.1.1.250
Tunnel.1
de la
interfaz
Dispositivo local
Dominio de enrutamiento
Para llegar a
utilice
10.1.1.0/24
eth3/2
0.0.0.0/0
untrust-vr
NOTA:
Puerta de enlace
predeterminada:
1.1.1.250
Tnel VPN
vpn a SF
Zona Trust
eth3/210.1.1.1/24
Para obtener informacin detallada sobre las VPN, consulte Volume 5:

Redes privadas virtuales.
Sistemas virtuales
Algunos dispositivos de seguridad de Juniper Networks admiten sistemas virtuales
(vsys). Un sistema virtual es una subdivisin del sistema principal que para el
usuario aparece como una entidad independiente. Los sistemas virtuales se
encuentran separados del sistema raz y entre s dentro de un mismo dispositivo de
seguridad. La aplicacin de ScreenOS a los sistemas virtuales implica la
coordinacin de tres componentes principales: zonas, interfaces y rutas virtuales.
La Figura 12 en la pgina 10 presenta una vista conceptual de cmo ScreenOS
integra estos componentes en los niveles raz y de sistema virtual.
Figura 12: Arquitectura de sistemas virtuales
Nota: El icono del castillo representa una
interfaz de una zona de seguridad.
trust-vr
untrust-vr
Finance
DMZ
Trust
Mail
Interfaz compartida
por vsys1 y raz
sistema raz
Untrust
Subinterfaz
dedicada para
vsys2
Eng
vsys1-vr
Trust-vsys1
vsys1
vsys2
vsys2-vr
Trust-vsys2
vsys3
interfaz fsica
dedicada para vsys3
vsys3-vr
Trust-vsys3
NOTA:
10
Sistemas virtuales
Para obtener ms informacin sobre sistemas virtuales y la aplicacin de zonas,

interfaces y enrutadores virtuales en el contexto de sistemas virtuales, consulte el
Volumen 10: Sistemas virtuales.
Secuencia de flujo de paquetes

En ScreenOS, la secuencia de flujo de un paquete entrante ocurre segn se muestra
en la Figura 13.
Figura 13: Flujo de paquetes a travs de las zonas de seguridad
Paquete
entrante
SCREEN
Filtro
Sesin
Bsqueda
MIP/VIP
IP de host
Interfaz
Interfaz
Si el paquete no coincide
con una sesin existente,
lleve a cabo los pasos 4 a 9.
Origen
Zona
Si lo hace, vaya
directamente al paso 9.
Zonas de
seguridad
Si hay trfico de red,

zona de origen = zona
de seguridad a la que
est asociada la
interfaz o subinterfaz.
Directiva
Bsqueda
Tabla de reenvos
Lista de directivas
10.10.10.0/24 eth1/1
0.0.0.0/0 untrust-vr
src dst service action
Interfaz de destino
y
Zona de destino
NAT-Dst y
luego/o NAT-Src
Permit = reenviar paquete

Deny = descartar paquete
Reject = descartar el paquete y enviar
TCP RST al origen
Tunnel = Utilizar el tnel especificado
para la encriptacin de VPN
Crear
sesin
Realizar
operacin
Tabla de sesiones
d 977 vsys id 0, flag 000040/00,
pid -1, did 0, time 180
13 (01) 10.10.10.1/1168 ->
211.68.1.2/80, 6,
002be0c0066b,
subif 0, tun 0
Si zona de destino = zona de seguridad,

utilizar esa zona para la consulta de
directivas.
Si hay trfico VPN a la

interfaz de tnel
asociada al tnel VPN,
zona de origen = zona
de seguridad donde
est configurado el
tnel
Si hay trfico VPN a la
interfaz de tnel en una
zona de tnel, zona de
origen = zona portadora
Ruta
Bsqueda
Si zona de destino = zona del tnel, utilizar

su zona portadora para la consulta de
directivas.
Tunnel
Zona
1. El mdulo de interfaz identifica la interfaz entrante y, en consecuencia la zona

de origen a la que est asociada.
La determinacin de la zona de origen se basa en los criterios siguientes:
Si el paquete no est encapsulado, la zona de origen es la zona de

seguridad a la que la interfaz o subinterfaz entrante est asociada.
Si el paquete est encapsulado y la interfaz de tnel est asociada a un

tnel VPN, la zona de origen es la zona de seguridad en la que est
configurada la interfaz de tnel.
Si el paquete est encapsulado y la interfaz de tnel se encuentra en una

zona de tnel, la zona de origen es la zona portadora (zona de seguridad
que porta el tnel) correspondiente a esa zona de tnel.
11
2. Si las opciones de SCREEN estn habilitadas para la zona de origen, el

dispositivo de seguridad activa el mdulo SCREEN en este momento. La
comprobacin de SCREEN puede producir uno de los tres resultados siguientes:
Si un mecanismo SCREEN detecta un comportamiento anmalo y est

configurado para bloquear el paquete correspondiente, el dispositivo de
seguridad descarta el paquete y genera una entrada en el registro de
eventos.
Si un mecanismo SCREEN detecta un comportamiento anmalo y est

configurado para registrar el evento pero no bloquear el paquete, el
dispositivo de seguridad registra el evento en la lista de contadores SCREEN
para la interfaz de entrada y procede al paso siguiente.
Si el mecanismo SCREEN no detecta ningn comportamiento anmalo, el

dispositivo de seguridad procede al paso siguiente.
3. El mdulo de sesiones realiza una consulta de sesin para comprobar si el

paquete coincide con una sesin existente.
Si el paquete no coincide con ninguna sesin existente, el dispositivo de
seguridad ejecuta First Packet Processing, un procedimiento que implica los
pasos 4 a 9 que se presentan a continuacin.
Si el paquete coincide con una sesin existente, el dispositivo de seguridad
ejecuta Fast Processing, utilizando la informacin disponible en la entrada de
sesiones existente para procesar el paquete. El procesamiento rpido (Fast
Processing) omite los pasos 4 a 8 porque la informacin que generan ya se
obtuvo durante el procesamiento del primer paquete de la sesin.
4. Si se utiliza una direccin IP asignada (MIP) o direccin IP virtual (VIP), el
mdulo de asignacin de direcciones resuelve la direccin MIP o VIP de modo
que la tabla de enrutamiento pueda buscar la direccin real del host.
5. La operacin de consulta de la tabla de rutas averigua qu interfaz conduce a la
direccin de destino. Al hacerlo, el mdulo de interfaz identifica la zona de
destino a la que est asociada esa interfaz.
La determinacin de la zona de destino se basa en los siguientes criterios:
12
Si la zona de destino es una zona de seguridad, esa zona se utiliza para la

consulta de directivas.
Si la zona de destino es una zona de tnel, se utiliza la zona portadora

correspondiente para la consulta de directivas.
Si la zona de destino es igual a la zona de origen y el bloqueo intrazonal

est inhabilitado para esa zona, el dispositivo de seguridad omite los pasos
6 y 7 y crea una sesin (paso 8). Si el bloqueo intrazonal est activado, el
dispositivo de seguridad descarta el paquete.
6. El motor de directivas busca en las listas de conjuntos de directivas una

directiva entre las direcciones de las zonas de origen y de destino identificadas.
La accin configurada en la directiva determina lo que debe hacer la pared de
fuego de ScreenOS con el paquete:
Si la accin es permit, el dispositivo de seguridad decide remitir el paquete

a su destino.
Si la accin es deny, el dispositivo de seguridad determina descartar el

paquete.
Si la accin es reject, el dispositivo de seguridad decide descartar el

paquete y, si el protocolo es TCP, enviar una seal de restablecimiento
(RST) a la direccin IP de origen.
Si la accin es tunnel, el dispositivo de seguridad decide remitir el paquete

al mdulo VPN, que encapsula el paquete y lo transmite utilizando los
ajustes especificados del tnel VPN.
7. Si en la directiva est especificado que se traduzcan las direcciones de destino

(NAT-dst), el mdulo NAT traduce la direccin de destino original del
encabezado del paquete IP a otra direccin.
Si est especificada la traduccin de direcciones de origen (NAT basada en
interfaz o NAT-src basada en directivas), el mdulo NAT traduce la direccin de
origen del encabezado del paquete IP antes de reenviarlo a su destino o al
mdulo VPN.
(Si en la misma directiva estn especificados tanto NAT-dst como NAT-src, el
dispositivo de seguridad realiza primero NAT-dst y luego NAT-src).
8. El mdulo de sesiones crea una nueva entrada en la tabla de sesiones que
contiene los resultados de los pasos 1 a 7.
Para procesar los paquetes subsiguientes de la misma sesin, el dispositivo de
seguridad utiliza la informacin mantenida en la entrada de la sesin.
9. El dispositivo de seguridad realiza la operacin especificada en la sesin.
Algunas operaciones tpicas son la traduccin de direcciones de origen, la
seleccin y encriptacin del tnel VPN, la desencriptacin y el reenvo de
paquetes.
13
Ejemplo: (Parte 1) Empresa con seis zonas

sta es la primera de las cuatro partes de un ejemplo cuya finalidad es aclarar
algunos de los conceptos expuestos en las secciones anteriores. Si desea
informacin sobre esta segunda parte, en la que las interfaces de cada zona estn
ya establecidas, consulte Ejemplo: (Parte 2) Interfaces para seis zonas en la
pgina 16. Aqu se configuran las seis zonas siguientes de una empresa:
Finance
Trust
Eng
Mail
Untrust
DMZ
Las zonas Trust, Untrust y DMZ estn preconfiguradas. Usted definir las zonas
Finance, Eng y Mail. De forma predeterminada, las zonas definidas por el usuario
se ubican en el dominio de enrutamiento trust-vr. Por lo tanto, no es necesario
especificar un enrutador virtual para las zonas Finance y Eng. Sin embargo, adems
de configurar la zona Mail, tambin deber especificar que se encuentre en el
dominio de enrutamiento untrust-vr. Tambin se deben transferir los enlaces de los
enrutadores virtuales de las zonas DMZ y Untrust de trust-vr a untrust-vr . Consulte
Figura 14 en la pgina 14.
NOTA:
Para obtener ms informacin sobre enrutadores virtuales y sus dominios de

enrutamiento, consulte el Volumen 7: Enrutamiento.
Figura 14: Enlaces de enrutador de zona a virtual

14
Finance
Mail
Trust
Untrust
Eng
DMZ
WebUI
Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: Finance
Virtual Router Name: trust-vr
Zone Type: Layer 3: (seleccione)
Zone Name: Eng
Zone Name: Mail
Virtual Router Name: untrust-vr
Network > Zones > Edit (para Untrust): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, despus haga clic en OK.
Network > Zones > Edit (para DMZ): Seleccione untrust-vr en la lista
desplegable Virtual Router Name, despus haga clic en OK.
CLI
set zone name finance
set zone name eng
set zone name mail
set zone mail vrouter untrust-vr
set zone untrust vrouter untrust-vr
set zone dmz vrouter untrust-vr
save
15
Ejemplo: (Parte 2) Interfaces para seis zonas

sta es la segunda parte de un ejemplo fragmentado. Si desea ver la primera
parte, en la que se configuran las zonas, consulte Ejemplo: (Parte 1) Empresa
con seis zonas en la pgina 14. Si desea ver la siguiente parte, en la que se
configuran enrutadores virtuales, consulte Ejemplo: (Parte 3) Dos dominios de
enrutamiento en la pgina 18. Esta parte del ejemplo demuestra cmo asociar
interfaces a las zonas y configurarlas con una direccin IP y diversas opciones
de administracin. Consulte Figura 15.
Figura 15: Enlaces de interfaz a zona
1.3.3.1/24
eth1/1
Finance
10.1.2.1/24
Etiqueta VLAN 1
eth3/2.1
Trust
10.1.1.1/24
eth3/2
Mail
1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2
1/1
1/2
3/1
3/2
2/1
2/2
4/1
4/2
Eng
10.1.3.1/24
eth3/1
Untrust
1.1.1.1/24
eth1/2
DMZ
1.2.2.1/24
eth2/2
WebUI
1.
Interfaz ethernet3/2
Network > Interfaces > Edit (para ethernet3/2): Introduzca los siguientes
datos y haga clic en OK:
Zone Name: Trust
Static IP: (seleccione esta opcin si es posible)
IP Address/Netmask: 10.1.1.1/24
Manageable: (seleccione)
Management Services: WebUI, Telnet, SNMP, SSH (seleccione)
Other Services: Ping (seleccione)
2.
Interfaz ethernet3/2.1
Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: ethernet3/2.1
Zone Name: Finance
VLAN Tag: 1
16
3.
Zone Name: Eng
4.
Zone Name: Mail
5.
Network > Interfaces > Sub-IF New: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: ethernet1/1.2
Zone Name: Mail
VLAN Tag: 2
6.
Zone Name: Untrust
Manageable: (seleccione)
Management Services: SNMP (seleccione)
7.
Zone Name: DMZ
Static IP: (seleccione)
CLI
1.
set
set
set
set
set
set
set
interface ethernet3/2 zone trust

interface ethernet3/2 ip 10.1.1.1/24
interface ethernet3/2 manage ping
interface ethernet3/2 manage webui
interface ethernet3/2 manage telnet
interface ethernet3/2 manage snmp
interface ethernet3/2 manage ssh
17
2.
set interface ethernet3/2.1 tag 1 zone finance

set interface ethernet3/2.1 ip 10.1.2.1/24
set interface ethernet3/2.1 manage ping
3.
set interface ethernet3/1 zone eng

set interface ethernet3/1 ip 10.1.3.1/24
set interface ethernet3/1 manage ping
4.
set interface ethernet1/1 zone mail

5.
set interface ethernet1/1.2 tag 2 zone mail

set interface ethernet1/1.2 ip 1.4.4.1 /24
6.
set interface ethernet1/2 zone untrust

set interface ethernet1/2 manage snmp
7.
set interface ethernet2/2 zone dmz

save
Ejemplo: (Parte 3) Dos dominios de enrutamiento

sta es la tercera parte de un ejemplo fragmentado. Si desea ver la parte anterior,
en la que se definen las interfaces para las diferentes zonas de seguridad, consulte
Ejemplo: (Parte 2) Interfaces para seis zonas en la pgina 16. Si desea ver la parte
siguiente, en la que se establecen las directivas, consulte el Ejemplo: (Parte 4)
Directivas en la pgina 20. En este ejemplo solamente se configura una ruta para
la puerta de enlace predeterminada a Internet. Las otras rutas son creadas
automticamente por el dispositivo de seguridad al generar las direcciones IP de las
interfaces. Consulte Figura 16 en la pgina 19.
18
Figura 16: Dominios de enrutamiento

untrust-vr
dominio de enrutamiento
trust-vr
dominio de enrutamiento
Finance
10.1.2.1/24
Etiqueta VLAN 1
eth3/2.1, NAT
1.3.3.1/24
eth1/1, ruta
Mail
1.4.4.1/24
Etiqueta VLAN 2
eth1/1.2, ruta
Trust
10.1.1.1/24
eth3/2, NAT
Untrust
1.1.1.1/24
eth1/2, ruta
Eng
10.1.3.1/24
eth3/1, NAT
DMZ
1.2.2.1/24
eth2/2, ruta
Reenvo de rutas
WebUI
Network > Routing > Routing Entries > trust-vr New: Introduzca los
siguientes datos y haga clic en OK:
Network Address / Netmask: 0.0.0.0/0
Next Hop Virtual Router Name: (seleccione); untrust-vr
Network > Routing > Routing Entries > untrust-vr New: Introduzca los
Gateway: (seleccione)
Interface: ethernet1/2
Gateway IP Address: 1.1.1.254
CLI
set vrouter trust-vr route 0.0.0.0/0 vrouter untrust-vr
set vrouter untrust-vr route 0.0.0.0/0 interface eth1/2 gateway 1.1.1.254
save
El dispositivo de seguridad crea automticamente las rutas que se muestran en

Tabla 1 y Tabla 2 en la pgina 20 (con excepcin de lo que se indica).
19
Tabla 1: Tabla de rutas para trust-vr

Para llegar a:
Utilizar interfaz: Utilizar puerta de enlace/Vrouter: Creado por:
0.0.0.0/0
n/a
untrust-vr
Configurado por el
usuario
10.1.3.0/24
eth3/1
0.0.0.0
Dispositivo de
seguridad
10.1.1.0/24
eth3/2
0.0.0.0
Dispositivo de
seguridad
10.1.2.0/24
eth3/2.1
0.0.0.0
Dispositivo de
seguridad
Tabla 2: Tabla de rutas para untrust-vr

Para llegar a:
Utilizar interfaz:
Utilizar puerta de enlace/Vrouter: Creado por:
1.2.2.0/24
eth2/2
0.0.0.0
Dispositivo de
seguridad
1.1.1.0/24
eth1/2
0.0.0.0
Dispositivo de
seguridad
1.4.4.0/24
eth1/1.2
0.0.0.0
Dispositivo de
seguridad
1.3.3.0/24
eth1/1
0.0.0.0
Dispositivo de
seguridad
0.0.0.0/0
eth1/2
1.1.1.254
Configurado por el
usuario
Ejemplo: (Parte 4) Directivas

sta es la ltima parte de un ejemplo fragmentado. La parte anterior es Ejemplo:
(Parte 3) Dos dominios de enrutamiento en la pgina 18. En esta parte del ejemplo
se muestra cmo configurar nuevas directivas. Consulte Figura 17.
Figura 17: Directivas
trust-vr
dominio de
trust-vr
dominio de
Finance
Trust
Mail
Motor de
directivas
Eng
DMZ
Reenvo de rutas
20
Untrust
Para que este ejemplo funcione, antes de comenzar a configurar nuevas directivas
es necesario crear nuevos grupos de servicios.
NOTA:
Cuando se crea una zona, el dispositivo de seguridad crea automticamente la

direccin Any para todos los hosts existentes en esa zona. Este ejemplo utiliza la
direccin Any para los hosts.
WebUI
1.
Grupos de servicios
Objects > Services > Groups > New: Introduzca los siguientes datos y haga
clic en OK:
Group Name: Mail-Pop3
Seleccione Mail y utilice el botn << para mover el servicio de la columna

Available Members a la columna Group Members.
Seleccione Pop3 y utilice el botn << para mover el servicio de la
columna Available Members a la columna Group Members.
Objects > Services > Groups > New: Introduzca los siguientes datos y haga
clic en OK:
Group Name: HTTP-FTPGet
Seleccione HTTP y utilice el botn << para mover el servicio de la

Seleccione FTP-Get y utilice el botn << para mover el servicio de la
2.
Directivas
Directivas > (From: Finance, To: Mail) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Any
Destination Address:
Service: Mail-Pop3
Action: Permit
Directivas > (From: Trust, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Service: Mail-Pop3
Action: Permit
21
Directivas > (From: Eng, To: Mail) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Service: Mail-Pop3
Action: Permit
Directivas > (From: Untrust, To: Mail) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Service: Mail
Action: Permit
Directivas > (From: Finance, To: Untrust) New: Introduzca los siguientes datos
y haga clic en OK:
Source Address:
Service: HTTP-FTPGet
Action: Permit
Directivas > (From: Finance, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Action: Permit
Directivas > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Action: Permit
Directivas > (From: Trust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Action: Permit
22
Directivas > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Action: Permit
Directivas > (From: Eng, To: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Service: FTP-Put
Action: Permit
Directivas > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Action: Permit
CLI
1.
Grupos de servicios
set
set
set
set
2.
group
group
group
group
service mail-pop3 add mail

service mail-pop3 add pop3
service http-ftpget add http
service http-ftpget add ftp-get
Directivas
set policy from finance to mail any any mail-pop3 permit

set policy from trust to mail any any mail-pop3 permit
set policy from eng to mail any any mail-pop3 permit
set policy from untrust to mail any any mail permit
set policy from finance to untrust any any http-ftpget permit
set policy from finance to dmz any any http-ftpget permit
set policy from trust to untrust any any http-ftpget permit
set policy from trust to dmz any any http-ftpget permit
set policy from eng to untrust any any http-ftpget permit
set policy from eng to dmz any any http-ftpget permit
set policy from eng to dmz any any ftp-put permit
set policy from untrust to dmz any any http-ftpget permit
save
23
24
Captulo 2
Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lgico que tiene asociada una interfaz
de tnel VPN (zona de tnel), o una entidad fsica o lgica que realiza una funcin
especfica (zona de funcin).
Este captulo examina cada uno de los tipos de zonas, poniendo un especial nfasis
en la zona de seguridad, y describe los modos de puerto. El captulo incluye las
Visualizar las zonas preconfiguradas en la pgina 26
Zonas de seguridad en la pgina 28
Zona Global en la pgina 28
Opciones SCREEN en la pgina 28
Enlazar una interfaz de tnel a una zona de tnel en la pgina 28
Configuracin de zonas de seguridad y zonas de tnel en la pgina 30
Crear una zona en la pgina 30
Modificar una zona en la pgina 31
Eliminar una zona en la pgina 32
Zonas de funcin en la pgina 32
Zona Null en la pgina 32
Zona MGT en la pgina 32
Zona HA en la pgina 33
Zona de registro propio en la pgina 33
Zona VLAN en la pgina 33
25
Modos de puerto en la pgina 33
Modo Trust-Untrust en la pgina 34
Modo Home-Work en la pgina 35
Modo Dual Untrust en la pgina 36
Modo combinado en la pgina 37
Modo Trust/Untrust/DMZ (extendido) en la pgina 38
Modo DMZ/Dual Untrust en la pgina 38
Modo Dual DMZ en la pgina 39
Establecer los modos de puertos en la pgina 40
Zonas en los modos Home-Work y Combined Port en la pgina 41
Visualizar las zonas preconfiguradas

La primera vez que se inicia un dispositivo de seguridad pueden verse una serie de
zonas preconfiguradas. Para visualizar estas zonas utilizando la WebUI, haga clic en
Network > Zones en la columna de men de la izquierda. Consulte Figura 18.
Para visualizar estas zonas utilizando la CLI, utilice el comando get zone. Consulte
Figura 18: PginaNetwork > Zones en la WebUI
26
Captulo 2: Zonas
La Figura 19 muestra el resultado del comando get zone.

Figura 19: Resultado del comando get zone
ns500> get zone
Total of 13 zones in vsys root
Los sistemas raz y virtual comparten estas zonas.
ID
Name)
Type)
Attr)
VR)
0)
Null)
Null)
Shared) untrust-vr)
1)
Untrust) Sec(L3))
Shared) trust-vr)
2)
Trust)
Sec(L3))
)
trust-vr)
3)
DMZ)
Sec(L3))
)
trust-vr)
4)
Self)
Func)
)
trust-vr)
5)
MGT)
Func)
)
trust-vr)
6)
HA)
Func)
)
trust-vr)
10)
Global)
Sec(L3))
)
trust-vr)
11)
V1-Untrust) Sec(L2))) trust-vr) v1-untrust)
12)
V1-Trust) Sec(L2))
)
trust-vr)
13)
V1-DMZ) Sec(L2))
)
trust-vr)
14)
VLAN)
Func)
)
trust-vr
16)
Untrust-Tun) Tun))
trust-vr) null)
-----------------------------------------------------------------------
Los nmeros de zona 7 a 9 y 15 estn reservados para

uso futuro.
Default-IF) VSYS)
null)
Root)
ethernet1/2) Root)
ethernet3/2) Root)
ethernet2/2) Root)
self)
Root)
mgt)
Root)
ha)
Root)
null)
Root)
Root)
v1-trust)
Root)
v1-dmz)
Root)
vlan)
Root)
Root)
Estas zonas (ID 0 y 10) no tienen ni

pueden tener una interfaz.
Estas zonas (ID 1-3 y 11-14) proporcionan

compatibilidad con versiones anteriores al actualizar
de una versin anterior a ScreenOS 3.1.0. Las 3
superiores para dispositivos en modo NAT o Route,
las 3 inferiores para dispositivos en modo
transparente.
De forma predeterminada, las interfaces de tnel VPN estn asociadas a la zona

Untrust-Tun, cuya zona portadora es la zona Untrust. (Durante la actualizacin, los tneles
existentes se asocian a la zona Untrust-Tun).
Las zonas preconfiguradas que se muestran en la Figura 18 y Figura 19 se pueden

agrupar en tres tipos diferentes:
Zonas de seguridad: Untrust, Trust, DMZ, Global, V1-Untrust, V1-Trust, V1-DMZ
Zona de tnel: Untrust-Tun
Zonas de funcin: Null, Self, MGT, HA, VLAN
27
Zonas de seguridad
En un solo dispositivo de seguridad se pueden configurar varias zonas de seguridad,
dividiendo la red en segmentos a los que se pueden aplicar diversas opciones de
seguridad para satisfacer las necesidades de cada segmento. Deben definirse como
mnimo dos zonas de seguridad, bsicamente para proteger un rea de la red de la
otra. En algunas plataformas de seguridad se pueden definir muchas zonas de
seguridad, lo que refina an ms la granularidad del diseo de seguridad de la red,
evitando la necesidad de distribuir mltiples dispositivos de seguridad para
conseguir el mismo fin.
Zona Global
Puede identificar una zona de seguridad porque tiene una libreta de direcciones y
se puede hacer referencia a ella en directivas. La zona Global satisface estos
criterios. Sin embargo, le falta un elemento del que s disponen las dems zonas de
seguridad: una interfaz. La zona Global sirve como rea de almacenamiento de
direcciones IP asignadas (MIP) y direcciones IP virtuales (VIP). La direccin
predefinida Any de la zona Global puede aplicarse a todas las MIP, VIP y a otras
direcciones definidas por el usuario establecidas en la zona Global. Dado que el
trfico dirigido a estas direcciones se asigna a otras direcciones, la zona Global no
requiere una interfaz para que el trfico fluya a travs de ella.
La zona Global tambin contiene direcciones para su utilizacin en directivas
globales. Para obtener ms informacin acerca de directivas globales, consulte
Directivas globales en la pgina 166).
NOTA:
Cualquier directiva que utilice la zona Global como su destino no puede admitir
NAT ni asignacin de trfico.
Opciones SCREEN
Una pared de fuego de Juniper Networks asegura una red inspeccionando, y luego
permitiendo o denegando, todo intento de conexin que necesite pasar de una
zona de seguridad a otra. Por cada zona de seguridad y zona MGT, puede habilitar
un conjunto de opciones SCREEN predefinidas que detecten y bloqueen los
diversos tipos de trfico que el dispositivo de seguridad identifica como
potencialmente dainos.
Para obtener ms informacin sobre las opciones SCREEN disponibles, consulte el
Volume 4: Attack Detection and Defense Mechanisms.
Enlazar una interfaz de tnel a una zona de tnel

Una zona del tnel es un segmento lgico que contiene al menos una interfaz de
tnel. Las zonas de tnel estn conceptualmente relacionadas con zonas de
seguridad en una relacin padre-hijo. Las zonas de seguridad que actan como el
padre, que tambin pueden imaginarse como zonas portadoras, proporcionan
proteccin de pared de fuego al trfico encapsulado. La zona del tnel proporciona
28
Zonas de seguridad
Captulo 2: Zonas
el encapsulado y desencapsulado de paquetes, y tambin puede proporcionar

servicios NAT basados en directivas, ya que admiten interfaces de tnel con
direcciones IP y mscaras de red que pueden contener direcciones IP asignadas
(MIP) y dinmicas (DIP).
El dispositivo de seguridad utiliza la informacin de enrutamiento de la zona
portadora para dirigir el trfico al punto final del tnel. La zona del tnel
predeterminada es Untrust-Tun, asociada a la zona Untrust. Puede crear otras zonas
de tnel y asociarlas a otras zonas de seguridad, con un mximo de una zona de
tnel por zona portadora y por sistema virtual.
NOTA:
El sistema raz y todos los sistemas virtuales pueden compartir la zona Untrust.
Sin embargo, cada sistema tiene su propia zona Untrust-Tun separada.
De forma predeterminada, una zona de tnel se encuentra en el dominio de
enrutamiento trust-vr, pero tambin puede mover una zona de tnel a otro dominio
de enrutamiento. Consulte Figura 20 en la pgina 29.
Figura 20: Dominio de enrutamiento de la zona Tunnel
Zona de seguridad
Zona de tnel
Trfico hacia o desde un tnel
VPN
La interfaz de tnel, que cuando est
asociada a una zona de tnel debe
tener una direccin IP y una mscara
de red, admite NAT basada en
directivas para el trfico VPN
pre-encapsulado y
post-desencapsulado.
Interfaz de
tnel
La interfaz de la zona de seguridad que

contiene la zona de tnel proporciona la
proteccin de pared de fuego para el
trfico encapsulado.
Interfaz de la zona
de seguridad
Tnel VPN
El trfico saliente penetra en la zona de tnel a travs de la interfaz de tnel, es encapsulado y sale a travs de la interfaz de la zona de seguridad.
El trfico entrante accede a travs de la interfaz de la zona de seguridad, es desencapsulado en la zona de tnel, y sale a travs de la interfaz de tnel.
Al actualizar una versin de ScreenOS anterior a 3.1.0, las interfaces de tnel

existentes se asocian de forma predeterminada a la zona Tunnel preconfigurada
Untrust-Tun, que es un hijo de la zona de seguridad preconfigurada de Untrust.
Puede asociar mltiples zonas de tnel a la misma zona de seguridad; sin embargo,
no puede enlazar una zona de tnel a otra zona de tnel.
En este ejemplo crear una interfaz de tnel y la llamar tunnel.3. La asociar a la
zona Untrust-Tun y le asignar la direccin IP 3.3.3.3/24. Seguidamente definir
una direccin IP asignada (MIP) en tunnel.3, traduciendo 3.3.3.5 a 10.1.1.5, que es
la direccin de un servidor en la zona Trust. Tanto la zona Untrust, que es la zona
portadora de la zona Untrust-Tun, como la zona Trust estn en el dominio de
enrutamiento trust-vr.
Enlazar una interfaz de tnel a una zona de tnel
29
WebUI
1.
Interfaz de tnel
Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga
clic en OK:
Tunnel Interface Name: tunnel.3
Zone (VR): Untrust-Tun (trust-vr)
Fixed IP: (seleccione)
IP Address/Netmask 3.3.3.3/24
2.
MIP
Network > Interfaces > Edit (para tunnel.3) > MIP > New: Introduzca los
IP asignada: 3.3.3.5
Netmask: 255.255.255.255
Host IP Address: 10.1.1.5
Host Virtual Router Name: trust-vr
CLI
1.
Interfaz de tnel
set interface tunnel.3 zone Untrust-Tun

set interface tunnel.3 ip 3.3.3.3/24
2.
MIP
set interface tunnel.3 mip 3.3.3.5 host 10.1.1.5

save
Configuracin de zonas de seguridad y zonas de tnel

El proceso para la creacin, modificacin y eliminacin de zonas de seguridad y
zonas del tnel de la capa 3 o capa 2 son bastante similares.
NOTA:
No se pueden eliminar zonas de seguridad predefinidas ni la zona de tnel

predefinida, aunque s se pueden editar.
Crear una zona

Para crear zonas de seguridad de capa 3 ("Layer 3") o capa 2 ("Layer 2") o una zona
de tnel, utilice WebUI o CLI:
WebUI
Zone Name: Escriba un nombre para la zona.
Virtual Router Name: Seleccione el enrutador virtual en cuyo dominio de
enrutamiento desea ubicar la zona.
Zone Type:
30
Configuracin de zonas de seguridad y zonas de tnel
Captulo 2: Zonas
Seleccione Layer 3 para crear una zona a la que podr asociar

interfaces en el modo NAT o Route.
Seleccione Layer 2 para crear una zona a la que pueda asociar
interfaces en modo transparente.
Seleccione Tunnel Out Zone cuando cree una zona Tunnel y la asocie a
una zona portadora, luego seleccione una zona portadora especfica en
la lista desplegable.
Block Intra-Zone Traffic: Seleccione esta opcin para bloquear el trfico
entre hosts de la misma zona de seguridad. De forma predeterminada, los
bloqueos intrazonales estn inhabilitados.
NOTA:
El nombre de una zona de seguridad de capa 2 ("Layer 2") debe comenzar con
L2-; por ejemplo, L2-Corp o L2-XNet.
CLI
set zone name zone [ l2 vlan_id_num | tunnel sec_zone ]
set zone zone block
set zone zone vrouter name_str
NOTA:
Al crear una zona de seguridad de capa 2 ("Layer 2"), el nmero de identificacin

VLAN-ID debe ser 1 (para el VLAN1).
Modificar una zona

Para modificar el nombre de una zona de seguridad o zona de tnel, o para cambiar
la zona portadora de una zona de tnel, primero debe eliminar la zona y luego
crearla de nuevo con los cambios. Puede cambiar la opcin de bloqueo intrazonal y
el enrutador virtual en una zona existente.
NOTA:
Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella.
Antes de poder cambiar el enrutador virtual por una zona, primero debe eliminar
todas las interfaces asociadas a ella.
WebUI
1.
Modificacin del nombre de una zona
Network > Zones: Haga clic en Remove (para la zona de seguridad o zona de
tnel cuyo nombre desea cambiar, o para la zona de tnel cuya zona portadora
desea cambiar).
Cuando aparezca la peticin de confirmacin para eliminar, haga clic en
Yes.
Network > Zones > New: Introduzca los ajustes de zona con sus cambios,
despus haga clic en OK.
Configuracin de zonas de seguridad y zonas de tnel 31
2.
Cambiar la opcin de bloqueo intrazonal o el enrutador virtual
Network > Zones > Edit (para las zonas que desea modificar): Introduzca los
Virtual Router Name: En la lista desplegable, seleccione el enrutador virtual
a cuyo dominio de enrutamiento desea mover la zona.
Block Intra-Zone Traffic: Para activar, seleccione la casilla de verificacin.
Para desactivar la opcin, desactive la casilla.
CLI
1.
Modificacin del nombre de una zona
unset zone zone

set zone name zone [ l2 vlan_id_num | tunnel sec_zone ]
2.
Cambiar la opcin de bloqueo intrazonal o el enrutador virtual
{ set | unset } zone zone block

set zone zone vrouter name_str
Eliminar una zona

Para eliminar una zona de seguridad o zona de tnel, ejecute cualquiera de los
siguientes procedimientos:
WebUI
Network > Zones: Haga clic en Remove (para la zona que desee eliminar).
Cuando aparezca la peticin de confirmacin para eliminar, haga clic en Yes.
CLI
unset zone zone
NOTA:
Antes de poder eliminar una zona, primero debe desasociar todas las interfaces
asociadas a ella. Para desasociar una interfaz de una zona, consulte Asociacin de
una interfaz a una zona de seguridad en la pgina 54.
Zonas de funcin
Las cinco zonas de funcin son Null, MGT, HA, Self y VLAN. Cada zona existe con un
solo propsito, segn se explica en la subseccin siguiente.
Zona Null
Esta zona sirve como almacenamiento temporal para cualquier interfaz que no est
asociada a ninguna otra zona.
Zona MGT
Esta zona contiene la interfaz de administracin de fuera de banda, MGT. Puede
establecer opciones de la pared de fuego en esta zona para proteger la interfaz de
administracin contra diversos tipos de ataques. Para obtener ms informacin
sobre opciones de la pared de fuego, consulte el Volume 4:
Attack Detection and Defense Mechanisms.
32
Zonas de funcin
Captulo 2: Zonas
Zona HA
Esta zona contiene las interfaces de alta disponibilidad, HA1 y HA2. Aunque puede
configurar interfaces para la zona HA, la zona propiamente dicha no es
configurable.
Zona de registro propio

Esta zona contiene la interfaz para las conexiones de administracin remotas.
Cuando usted se conecta al dispositivo de seguridad a travs de HTTP, SCS o Telnet,
se conecta a la zona de registro propio.
Zona VLAN
Esta zona contiene la interfaz VLAN1, que se utiliza para administrar el dispositivo y
terminar el trfico VPN cuando el dispositivo est en modo transparente. Tambin
puede establecer opciones de la pared de fuego en esta zona para proteger la
interfaz VLAN1 de diversos ataques.
Modos de puerto
Puede seleccionar un modo de puerto para ciertos dispositivos de seguridad de
Juniper Networks. El modo de puerto establece automticamente diversas
asociaciones de puertos, interfaces y zonas para el dispositivo.
En el contexto de modos de puertos, puerto se refiere a una interfaz fsica en la
parte posterior del dispositivo. Para hacer referencia a un puerto se utiliza su
etiqueta:
Untrusted
1-4
Console
Modem
El trmino interfaz se refiere a una interfaz lgica que se puede configurar con
WebUI o CLI. Cada puerto se puede asociar a una sola interfaz, pero a cada interfaz
se le pueden asociar mltiples puertos.
ADVERTENCIA: Cambiar el modo de puerto elimina cualquier configuracin

existente en el dispositivo de seguridad y requiere reiniciar el sistema.
La Tabla 3 muestra los modos disponibles en los dos dispositivos de seguridad. Para
visualizar las asociaciones de interfaz inalmbrica a zona, consulte Red de rea
local inalmbrica en la pgina 12 -33.
Modos de puerto
33
Tabla 3: Disponibilidad del Modo de puerto

Modo de puerto
Disponibles en dispositivos
Trust-Untrust (Predeterminado)
NetScreen-5GT, NetScreen-5GT ADSL,

NetScreen-5GT Wireless, NetScreen-5GT Wireless
ADSL y NetScreen-5XT
Home-Work

NetScreen-5GT Wireless, NetScreen-5GT Wireless
ADSL y NetScreen-5XT
Dual Untrust
NetScreen-5GT, NetScreen-5GT Wireless y

NetScreen-5XT
Combined
NetScreen-5GT, NetScreen-5GT Wireless y

NetScreen-5XT
Trust/Untrust/DMZ (extendido)
(Debe contar con la clave de
licencia extendida)

NetScreen-5GT Wireless y NetScreen-5GT Wireless
ADSL
Modo DMZ/Dual Untrust

licencia extendida)
NetScreen-5GT y NetScreen-5GT Wireless
Dual DMZ
licencia extendida)
NetScreen-5GT y NetScreen-5GT Wireless
Modo Trust-Untrust
El modo Trust-Untrust es el modo de puerto predeterminado. Consulte Figura 21.
Figura 21: Enlaces de interfaz a zona del modo de puerto Trust-Untrust
Interfaces Untrust
Zona Untrust
34
Modos de puerto
Interfaz Trust
Zona Trust
Captulo 2: Zonas
La Tabla 4proporciona los enlaces de interfaz a zona del modo Trust-Untrust.

Tabla 4: Enlaces Trust-Untrust
Puerto
Interfaz
Zona
Untrusted
Untrust
Untrust
Trust
Trust
Trust
Trust
Trust
Trust
Trust
Trust
Modem
serial
Null
Modo Home-Work
El modo Home-Work asocia interfaces a la zona de seguridad Untrust y a las zonas
de seguridad Home y Work. Las zonas Work y Home permiten segregar
usuarios y recursos en cada zona. En este modo, las directivas predeterminadas
permiten el flujo de trfico y conexiones entre las zonas Work y Home pero no
permiten trfico de la zona Home a la zona Work. Es posible personalizar las
directivas que aplican al trfico transmitido de la zona Home a la zona Work.
Consulte Figura 22. De forma predeterminada, no hay ninguna restriccin para el
trfico de la zona Home a la zona Untrust. La zona Home responde a los comandos
ping.
Figura 22: Enlaces de interfaz a zona del modo de puerto Home-Work
ethernet3
Zona Untrust
ethernet1
ethernet2
Zona Home
Zona Work
La Tabla 5proporciona los enlaces de interfaz a zona del modo Home-Work.

Tabla 5: Enlaces Home-Work
Puerto
Interfaz
Zona
Untrusted
Untrust
Untrust
ethernet1
Work
ethernet1
Work
ethernet2
Home
ethernet2
Home
Mdem
ethernet3
Untrust
Consulte Zonas en los modos Home-Work y Combined Port en la

pgina 41para obtener informacin adicional sobre cmo configurar y utilizar el
modo Home-Work.
Modos de puerto
35
Modo Dual Untrust

El modo Dual Untrust asocia dos interfaces a la zona de seguridad Untrust, que
permite al trfico atravesarse simultneamente a travs de la red interna. Consulte
Figura 23.
Figura 23: Enlaces de interfaz a zona del modo de puerto Dual Untrust
ethernet1
ethernet2
ethernet3
Zona Untrust
Zona Trust
La Tabla 6proporciona los enlaces de interfaz a zona del modo Dual Untrust.
Tabla 6: Enlaces del Modo Dual Untrust
NOTA:
Puerto
Interfaz
Zona
Untrusted
ethernet3
Untrust
ethernet1
Trust
ethernet1
Trust
ethernet1
Trust
ethernet2
Untrust
Modem
N/D
N/D
La interfaz serie no est disponible en el modo de puerto Dual Untrust.

Para habilitar la conmutacin por fallo, en lugar de entregar trfico
simultneamente, utilice el comando set failover enable.
Para obtener informacin adicional sobre cmo configurar y utilizar el modo Dual
Untrust, consulte Volumen 11: Alta disponibilidad.
36
Modos de puerto
Captulo 2: Zonas
Modo combinado
El modo combinado asocia una interfaz principal y una de respaldo a Internet y
permite la segregacin de usuarios y recursos en las zonas Work y Home. Consulte
Figura 24.
Figura 24: Enlaces de interfaz a zona del modo de puerto combinado
ethernet4
ethernet3
ethernet2
ethernet1
Zona Home
Zona Untrust
NOTA:
Zona Work
Para el dispositivo NetScreen-5XT, el modo combinado nicamente funciona en la

plataforma NetScreen-5XT Elite (usuarios sin restriccin). El modo combinado
(Combined) no se puede configurar con el asistente de configuracin inicial
(Initial Configuration Wizard). Este modo slo se puede configurar mediante
WebUI o CLI.
Tabla 7proporciona los enlaces de interfaz a zona del modo combinado.
Tabla 7: Enlaces combinados
Puerto
NOTA:
Interfaz
Zona
Untrusted
ethernet4
Untrust
ethernet1
Work
ethernet2
Home
ethernet2
Home
ethernet3
Untrust
Modem
N/D
N/D
La interfaz serie no est disponible en el modo de puerto Combined.

Para obtener ms informacin sobre cmo configurar y utilizar el modo Combined,
consulte el Volumen 11: Alta disponibilidad y Zonas en los modos Home-Work y
Combined Port en la pgina 41.
Modos de puerto
37
Modo Trust/Untrust/DMZ (extendido)

El modo Trust/Untrust/DMZ (extendido) asocia interfaces a las zonas de seguridad
Untrust, Trust y DMZ, permitiendo segregar de la red interna los servidores internos
de web, correo electrnico y otros servidores de aplicaciones. Consulte Figura 25.
Figura 25: Enlaces de interfaz de modo de puerto extendido a zona
Serie
ethernet2
Untrust
Zona Untrust
Zona DMZ
ethernet1
Zona Trust
La Tabla 8proporciona los enlaces de interfaz de modo extendido a zona.

Tabla 8: Enlaces extendidos
Puerto
Interfaz
Zona
Untrusted
Untrust
Untrust
ethernet1
Trust
ethernet1
Trust
ethernet2
DMZ
ethernet2
DMZ
Modem
serie
Untrust
Modo DMZ/Dual Untrust

El modo DMZ/Dual Untrust asocia interfaces a las zonas de seguridad Untrust, Trust
y DMZ, permitiendo entregar trfico simultneamente desde la red interna.
Figura 26: Enlaces de interfaz a zona del modo de puerto DMZ/Dual Untrust
ethernet4
Zona Untrust
38
Modos de puerto
ethernet2
ethernet3
Zona DMZ
ethernet1
Zona Trust
Captulo 2: Zonas
NOTA:
El modo DMZ/Dual Untrust nicamente funciona en las plataformas

NetScreen-5GT y NetScreen-5GT Wireless con una clave de licencia extendida.
La Tabla 9proporciona los enlaces de interfaz a zona del modo DMZ/Dual Untrust.
Tabla 9: Enlaces DMZ/Dual Untrust
NOTA:
Puerto
Interfaz
Zona
Untrusted
ethernet4
Untrust
ethernet1
Trust
ethernet1
Trust
ethernet2
DMZ
ethernet3
Untrust
Modem
N/D
N/D
La interfaz serie no est disponible en el modo de puerto DMZ/Dual Untrust. Para

habilitar la conmutacin por fallo, en lugar de entregar trfico simultneamente,
utilice el comando set failover enable.
Modo Dual DMZ

El modo Dual DMZ asocia interfaces a las zonas de seguridad Untrust, Trust, DMZ y
DMZ2, permitiendo entregar trfico simultneamente desde la red interna.
Figura 27: Enlaces de interfaz a zona del modo de puerto Dual DMZ
ethernet1
ethernet4
Zona Untrust
NOTA:
Zona DMZ2
Zona DMZ
ethernet3
ethernet2
Zona Trust
El modo Dual DMZ nicamente funciona en las plataformas NetScreen-5GT y

NetScreen-5GT Wireless con una clave de licencia extendida.
Modos de puerto
39
Tabla 10proporciona los enlaces de interfaz a zona del modo Dual DMZ.
Tabla 10: Enlaces Dual DMZ
Puerto
Interfaz
Zona
Untrusted
ethernet5
Untrust
ethernet1
Trust
ethernet2
DMZ
ethernet3
DMZ2
ethernet4
Untrust
Modem
N/D
N/D
Establecer los modos de puertos

El ajuste del modo de puerto del dispositivo de seguridad se puede modificar
mediante WebUI o CLI. Antes de establecer el modo de puerto, observe lo siguiente:
Al cambiar el modo de puerto, se elimina cualquier configuracin existente en

el dispositivo y es necesario reiniciar el sistema.
Ejecutar el comando CLI unset all no afecta al ajuste del modo de puerto del
dispositivo. Por ejemplo, si desea cambiar el modo de puerto de Combined al
modo predeterminado Trust-Untrust, ejecutar el comando unset all eliminar
la configuracin existente, pero no pondr el dispositivo en el modo
Trust-Untrust.
Ejemplo: Modo de puerto Home-Work

En este ejemplo establecer el modo de puerto del dispositivo NetScreen-5XT en
Home-Work.
WebUI
Configuration > Port Mode > Port Mode: Seleccione Home-Work en la lista
desplegable y haga clic en Apply.
Cuando aparezca la pregunta siguiente, haga clic en OK:
Operational mode change will erase current configuration and reset the
device, continue?
CLI
exec port-mode home-work
Cuando aparezca la pregunta siguiente, teclee y (respuesta afirmativa):

Change port mode from <trust-untrust> to <home-work> will erase system
configuration and reboot box
Are you sure y/[n] ?
40
Establecer los modos de puertos
Captulo 2: Zonas
Para ver el modo de puerto actual en el dispositivo, ejecute cualquiera de los

WebUI
Configuration > Port Mode
CLI
get system
Zonas en los modos Home-Work y Combined Port

Pueden presentarse conflictos de seguridad cuando el teletrabajo de los empleados
y las redes domsticas se hagan ms comunes. Una red domstica utilizada tanto
por teletrabajadores como por miembros de sus familias puede crear un peligroso
agujero de seguridad para una red corporativa, por el que se introducen amenazas
(como virus o gusanos) y se permite el acceso a los recursos corporativos (como
servidores y redes), a terceros ajenos a la empresa.
Los modos de puertos Home-Work y Combined asocian las interfaces de ScreenOS
a las zonas especiales Work y Home. Esto permite la segregacin de usuarios y
recursos corporativos de los domsticos, permitiendo al mismo tiempo que los
usuarios de las zonas Home y Work puedan acceder a la zona Untrust. Consulte
Figura 28: Enlaces de zona de los modos de puerto combinados y Home-Work
Home-Work
Zona Untrust
Zona Home
Zona Untrust
Zona Home
Zona Work
Combined
Zona Work
El modo de puerto Home-Work tambin asocia el puerto Modem a una interfaz

serie, que se puede asociar como interfaz de respaldo a la zona de seguridad
Untrust. Para obtener ms informacin sobre cmo utilizar la interfaz serie como
interfaz de respaldo a la zona de seguridad Untrust, consulte el Volumen 11:
Alta disponibilidad.
41
El modo de puertos combinados (Combined Port) tambin asocia el puerto

Ethernet 4 a la zona Untrust para hacer una copia de seguridad el puerto de
seguridad Untrust. La interfaz de respaldo solamente se utiliza cuando se produce
algn fallo en la interfaz principal a la zona Untrust. Para obtener ms informacin
sobre cmo utilizar la interfaz ethernet3 como interfaz de respaldo a la zona de
seguridad Untrust, consulte el Volumen 11: Alta disponibilidad.
De forma predeterminada, el dispositivo NetScreen-5XT acta como un servidor del
protocolo de configuracin dinmica de hosts (Dynamic Host Configuration
Protocol o DHCP), asignando direcciones IP dinmicas a los clientes DHCP en la
zona Work. (Para obtener ms informacin, consulte Asignacin de un dispositivo
de seguridad como agente de retransmisin de DHCP en la pgina 237).
Puede configurar el dispositivo utilizando una conexin de Telnet o WebUI
solamente desde la zona Work. El dispositivo no se puede configurar desde la zona
Home. No se puede utilizar ningn servicio de administracin, incluyendo el
comando ping, en la interfaz de la zona Home. La direccin IP predeterminada de
la interfaz de la zona Work (ethernet1) es 192.168.1.1/24.
Las directivas predeterminadas en los modos de puertos del Home-Work y
Combined proporcionan el siguiente control del trfico entre zonas:
Permitir todo el trfico desde la zona Work a la zona Untrust.
Permitir todo el trfico desde la zona Home a la zona Untrust.
Permitir todo el trfico desde la zona Work a la zona Home.
Bloquear todo el trfico desde la zona Home a la zona Work (esta directiva no
se puede eliminar)
Puede crear nuevas directivas para el trfico de la zona Work a la zona Untrust, de
la zona Home a la zona Untrust y de la zona Work a la zona Home. Tambin puede
eliminar las directivas predeterminadas que permiten todo el trfico desde la zona
Work a la zona Untrust, desde la zona Home a la zona Untrust y desde la zona Work
a la zona Home.
Ejemplo: Zonas Home-Work

En este ejemplo realizar el siguiente procedimiento:
1. Configurar el modo de puerto home-work.
2. Configurar una directiva que permita nicamente el trfico FTP de la zona
Home a la zona Untrust.
3. Borrar la directiva predeterminada que permite todo el trfico desde la zona
Home a la zona Untrust.
4. Desactivar la directiva ID 2, que permite el trfico de cualquier direccin de
origen a cualquier direccin de destino para cualquier servicio.
ADVERTENCIA: Cambiar el modo de puerto elimina cualquier configuracin

existente en el dispositivo y requiere reiniciar el sistema.
42
Captulo 2: Zonas
WebUI
Configuration > Port Mode > Port Mode: Seleccione Home-Work en la lista
desplegable y haga clic en Apply.
Cuando aparezca la pregunta siguiente, haga clic en OK:
Operational mode change will erase current configuration and reset the
device, continue?
En este momento, el sistema se reinicia. Inicie una sesin, despus ejecute el

siguiente procedimiento:
Directivas > (From: Home, To: Untrust) > New: Introduzca los siguientes datos
y haga clic en OK.
Source Address:
Service: FTP
Action: Permit
Policies: En la lista de directivas From Home to Untrust, haga clic en Remove

en la columna Configure para la directiva con la ID 2.
CLI
exec port-mode home-work
Cuando aparezca la pregunta siguiente, teclee y (respuesta afirmativa):

Change port mode from trust-untrust to
configuration and reboot box
home-work
will erase system
Are you sure y/[n] ?

set policy from home to untrust any any ftp permit
unset policy 2
save
43
44
Captulo 3
Interfaces
Las interfaces y subinterfaces fsicas permiten que entre y salga trfico de una zona
de seguridad. Para permitir que el trfico de una red fluya dentro y fuera de una
zona de seguridad, sta debe tener asociada una interfaz y, si se trata de una zona
de capa 3, deber asignrsele una direccin IP. A continuacin se debern
configurar directivas para permitir que el trfico pase de interfaz en interfaz entre
las diferentes zonas. Se pueden asignar varias interfaces a una zona, pero una
misma interfaz no se puede asignar a varias zonas.
Este captulo contiene las siguientes secciones:
Tipos de interfaces en esta pgina
Visualizacin de interfaces en la pgina 52
Configuracin de interfaces de la zona de seguridad en la pgina 53
Crear una direccin IP secundaria en la pgina 59
Interfaces de bucle invertido (loopback) en la pgina 60
Cambios de estado de la interfaz en la pgina 62
Tipos de interfaces
En esta seccin se describen la zona de seguridad, la zona de funcin y las
interfaces de tnel. Para obtener ms informacin sobre cmo visualizar una tabla
de todas estas interfaces, consulte Visualizacin de interfaces en la pgina 52.
Interfaces de la zona de seguridad

La finalidad de las interfaces y subinterfaces fsicas es proporcionar una abertura
por la que el trfico de red pueda pasar de una zona a otra.
Interfaces fsicas
Cada puerto de su dispositivo de seguridad representa una interfaz fsica, estando el
nombre de la interfaz predefinido. El nombre de una interfaz fsica se compone del
tipo de medio, nmero de la ranura (en algunos dispositivos de seguridad) y
nmero de puerto, por ejemplo, ethernet3/2 o ethernet2 (consulte tambin
Tipos de interfaces
45
Interfaces de zonas de seguridad en la pgina 3). Puede asociar una interfaz fsica
a cualquier zona de seguridad en la que acte como entrada a travs de la que el
trfico entre y salga de la zona. Sin una interfaz, ningn trfico puede entrar ni salir
de la zona.
En los dispositivos de seguridad que admiten cambios en las asociaciones
interfaz-a-zona, tres de las interfaces fsicas Ethernet estn pre-asociadas a zonas de
seguridad especficas de capa 2: V1-Trust, V1-Untrust y V1-DMZ. La interfaz que se
asocia a cada zona depende de la plataforma en cuestin. (Para obtener ms
informacin sobre zonas de seguridad, consulte Zonas de seguridad en la
pgina 2).
Subinterfaces
Una subinterfaz, como una interfaz fsica, acta como puerta por la que entra y sale
el trfico de una zona de seguridad. Una interfaz fsica se puede dividir lgicamente
en varias subinterfaces virtuales. Cada subinterfaz virtual toma prestado el ancho
de banda que necesita de la interfaz fsica de la que procede, por lo que su nombre
es una extensin del nombre de la interfaz fsica, por ejemplo, ethernet3/2.1 o
ethernet2.1. (Consulte Interfaces de zonas de seguridad en la pgina 3).
Una subinterfaz se puede asociar a cualquier zona. Una subinterfaz se puede
asociar a la misma zona que su interfaz fsica, o bien a otra zona. (Para obtener ms
informacin, consulte Asociacin de una interfaz a una zona de seguridad en la
pgina 54).
Interfaces agregadas
Los dispositivos de la serie NetScreen-5000 admiten interfaces agregadas. Una
interfaz agregada es la acumulacin de dos o ms interfaces fsicas, entre las que se
reparte equitativamente la carga de trfico dirigida a la direccin IP de la interfaz
agregada. Utilizando interfaces agregadas se puede aumentar el ancho de banda
disponible para una direccin IP determinada. Asimismo, si falla algn miembro de
una interfaz agregada, los otros miembros pueden seguir procesando trfico,
aunque con menos ancho de banda que el disponible anteriormente.
NOTA:
Para obtener ms informacin sobre interfaces agregadas, consulte Redundancia

de interfaces en la pgina 11-43.
Interfaces redundantes
Dos interfaces fsicas se pueden asociar para crear una interfaz redundante, que
entonces se puede asociar a una zona de seguridad. Una de las dos interfaces
fsicas acta como interfaz principal y gestiona todo el trfico dirigido a la interfaz
redundante. La otra interfaz fsica acta como interfaz secundaria y permanece en
estado de espera por si la interfaz activa experimenta algn fallo. En ese caso, el
trfico dirigido a la interfaz redundante se desva a la interfaz secundaria, que se
convierte en la nueva interfaz principal. El uso de interfaces redundantes
proporciona un primer frente de redundancia antes de que el fallo sea comunicado
como error al nivel de dispositivo.
NOTA:
46
Tipos de interfaces
Para obtener ms informacin sobre interfaces redundantes, consulte

Redundancia de interfaces en la pgina 11-43.
Captulo 3: Interfaces
Interfaces de seguridad virtuales

Las interfaces de seguridad virtuales (VSI) son las interfaces virtuales compartidas
por dos dispositivos de seguridad que forman un dispositivo de seguridad virtual
(VSD) cuando funcionan en el modo HA. Tanto el trfico de una red como el trfico
VPN utilizan la direccin IP y la direccin virtual MAC de un VSI. A continuacin,
VSD asigna el trfico a la interfaz, subinterfaz o interfaz redundante a la que
anteriormente haba asociado el VSI. Cuando dos dispositivos de seguridad estn
funcionando en el modo HA, es necesario asociar las interfaces de la zona de
seguridad a las que desee proporcionar un servicio ininterrumpido, por si se
produce alguna conmutacin por error en uno o ms dispositivos de seguridad
virtuales (VSD). Cuando se asocia una interfaz a un VSD, el resultado es una interfaz
de seguridad virtual (VSI).
NOTA:
Para obtener ms informacin sobre VSI y cmo funcionan con VSD en un clster
HA, consulte Volumen 11: Alta disponibilidad.
Interfaces de zonas de funcin

Las interfaces de las zonas de funcin, como la de administracin y la de HA, tienen
una finalidad especial.
Interfaces de administracin
En algunos dispositivos de seguridad, el dispositivo se puede administrar a travs
de una interfaz fsica separada (la interfaz de administracin o MGT) sacando el
trfico administrativo fuera del trfico de usuario de red habitual. Separando el
trfico administrativo del trfico de los usuarios de red se aumenta
significativamente la seguridad y se garantiza un ancho de banda de administracin
constante.
NOTA:
Para obtener ms informacin sobre cmo configurar el dispositivo para la

administracin, consulte Administration on page 3-1.
Interfaces de alta disponibilidad

La interfaz de alta disponibilidad (HA) es un puerto fsico utilizado exclusivamente
para las funciones de HA. Con dispositivos de seguridad equipados con interfaces
especializadas para HA (alta disponibilidad) se pueden asociar dos dispositivos para
formar un grupo redundante o clster. En un grupo redundante, una unidad acta
como la principal, realizando las funciones de cortafuegos de la red, VPN y
asignacin de trfico, mientras que la otra unidad acta como respaldo, esperando
a asumir el control de las funciones de cortafuegos en caso de fallar la unidad
principal. Se trata de una configuracin activa/pasiva. Tambin se pueden
configurar ambos miembros del clster para actuar mutuamente como principales
y respaldos. Esta configuracin se denomina activa/activa. Ambas configuraciones
se explican en detalle en el Volumen 11: Alta disponibilidad.
Interfaces de HA virtual
En dispositivos de seguridad carentes de una interfaz de HA especializada, una
interfaz de HA virtual proporciona la misma funcionalidad. Al no haber ningn
puerto fsico dedicado exclusivamente al trfico de HA, la interfaz de HA virtual se
debe asociar a uno de los puertos fsicos de Ethernet. Para asociar una interfaz de
Tipos de interfaces
47
red a la zona de HA se utiliza el mismo procedimiento que para asociar una interfaz
de red a una zona de seguridad (consulte Asociacin de una interfaz a una zona de
seguridad en la pgina 54).
NOTA:
Para obtener ms informacin sobre interfaces de HA, consulte Interfaces de alta

disponibilidad dobles en la pgina 11-28.
Interfaces de tnel
Una interfaz de tnel acta como entrada a un tnel VPN. El trfico entra y sale por
el tnel VPN a travs de una interfaz de tnel.
Cuando se asocia una interfaz de tnel a un tnel VPN, se puede establecer una
referencia a esa interfaz de tnel en una ruta hacia un destino determinado y
despus hacer referencia a ese destino en una o ms directivas. Este mtodo
permite un control muy detallado del flujo de trfico a travs del tnel. Tambin
permite el enrutamiento dinmico para el trfico VPN. Cuando no hay ninguna
interfaz de tnel asociada a un tnel VPN, se debe especificar el tnel mismo en la
directiva y elegir tunnel como accin. Dado que la accin tunnel lleva implcito un
permiso, no se puede rechazar especficamente el trfico procedente de un tnel
VPN.
Se puede aplicar NAT basada en directivas al trfico entrante o saliente usando un
conjunto de direcciones IP dinmicas (DIP) en la misma subred que la interfaz de
tnel. Un motivo tpico para utilizar NAT basada en directivas en una interfaz de
tnel es evitar conflictos de direcciones IP entre los sitios de ambos extremos de un
tnel VPN.
Un tnel VPN basado en rutas debe asociarse a una interfaz de tnel para que el
dispositivo de seguridad pueda enrutar el trfico entrante y saliente. Un tnel VPN
basado en rutas se puede asociar a una interfaz de tnel numerada (con direccin
IP y mscara de red) o no numerada (sin direccin IP y mscara de red). Si la
interfaz de tnel no est numerada, debe especificar una interfaz que preste a la
interfaz de tnel una direccin IP. El dispositivo de seguridad solamente utiliza la
direccin IP prestada como direccin de origen cuando el dispositivo de seguridad
mismo genera trfico (como el de los mensajes OSPF) a travs del tnel. La interfaz
de tnel puede tomar prestada la direccin IP de otra interfaz en la misma zona de
seguridad, o bien de una interfaz en otra zona, siempre que ambas zonas se
encuentren en el mismo dominio de enrutamiento.
Se puede alcanzar un control muy fiable del enrutamiento del trfico VPN
asociando todas las interfaces de tnel no numeradas a una zona, que se encuentra
en su propio dominio de enrutamiento virtual, y tomando la direccin IP de una
interfaz loopback asociada a la misma zona. Por ejemplo, se pueden asociar todas
las interfaces de tnel no numeradas a una zona definida por el usuario llamada
VPN y configurarlas para que tomen su direccin IP de la interfaz loopback.1,
tambin asociada a la zona VPN. La zona VPN se encuentra en un dominio de
enrutamiento definido por el usuario llamado vpn-vr. Usted pondr todas las
direcciones de destino a las que conducen los tneles en la zona VPN. Sus rutas a
estas direcciones apuntan a las interfaces de tnel, y sus directivas controlan el
trfico VPN entre otras zonas y la zona VPN. Consulte Figura 29 en la pgina 49.
48
Tipos de interfaces
Figura 29: Asociaciones de interfaz de tnel sin numerar

set vrouter name vpn-vr
set zone name vpn vrouter vpn-vr
set interface loopback.1 zone vpn
set interface loopback.1 ip 172.16.1.1/24
set interface tunnel.1 zone vpn
set interface tunnel.1 ip unnumbered loopback.1
Configure las direcciones para src-1 y dst-1.
Configure un tnel VPN y ascielo a tunnel.1.
ethernet3
1.1.1.1/24
ethernet1
10.1.1.1/24
Zona Trust
trust-vr
Zona Untrust
externos
enrutador
1.1.1.250
src- 10.1.1.5
set vrouter trust-vr route 10.2.2.5/32 vrouter vpn-vr

set vrouter trust-vr route 0.0.0.0/0 interface ethernet3
gateway 1.1.1.250
set vrouter vpn-vr route 10.2.2.5 interface tunnel.1
set policy from trust to vpn scr-1 dst-1 any permit
El dispositivo de seguridad enva el trfico destinado a 10.2.2.5/32 del
trust-vr al vpn-vr. Si tunnel.1 se inhabilita por cualquier causa, el
dispositivo descarta el paquete. Dado que la ruta predeterminada (a
0.0.0.0/0) solamente se encuentra en trust-vr, el dispositivo no intenta
enviar el paquete en texto puro sin formato a travs de ethernet3.
loopback.1
tunnel.1 sin 172.16.1.1/24
numerar
Zona VPN
dst-1
10.2.2.5
vpn-vr
Poner todas las interfaces de tnel en una zona de estas caractersticas es muy
seguro porque no hay posibilidad de que, por un fallo de la VPN (que provocara la
desactivacin de la ruta hacia la interfaz de tnel asociada), el trfico destinado al
tnel sea desviado hacia una ruta sin tnel, como la ruta predeterminada. (Para ver
varias sugerencias sobre cmo evitar este problema, consulte Consideraciones
sobre seguridad en redes privadas virtuales basadas en rutas en la pgina 5-72).
Tambin puede asociar una interfaz de tnel a una zona de tnel. En tal caso, debe
tener una direccin IP. La finalidad de asociar una interfaz de tnel a una zona de
tnel es que los servicios de NAT estn disponibles para los tneles VPN basados en
directivas. Consulte la Figura 30 en la pgina 50.
NOTA:
Los servicios de traduccin de direcciones de red (NAT) incluyen conjuntos de

direcciones IP dinmicas (DIP) y direcciones IP asignadas (MIP) definidas en la
misma subred que una interfaz.
Tipos de interfaces
49
Figura 30: Enlaces de interfaz de tnel a zona

Interfaces
de tnel
Numerado o
No numerado
Zona de seguridad
Interfaces
Tnel VPN
Zona
Cuando una interfaz de tnel se encuentra en una zona de seguridad, debe asociarse un tnel
VPN a la interfaz de tnel. Esto permite crear una configuracin de VPN basada en rutas. La
interfaz de tnel puede estar numerada o no numerada. Si no est numerada, la interfaz de tnel
toma prestada la direccin IP de la interfaz predeterminada de la zona de seguridad en la que fue
creada.
Nota: Slo una interfaz de tnel con una direccin IP y una mscara de red puede admitir NAT
basada en directivas.
Seguridad
Numerada
Tnel VPN
Zona
Numerada
Tnel
Zona
Tnel VPN
Cuando una interfaz de tnel numerada se encuentra en una zona de seguridad y es la nica
interfaz en esa zona, no es necesario crear una interfaz de zona de seguridad. En este caso, la
zona de seguridad admite trfico de VPN a travs de la interfaz de tnel, pero ningn otro tipo de
trfico.
Cuando una interfaz de tnel est asociada a una zona de tnel, la interfaz de tnel debe tener
una direccin IP y una mscara de red. Esto permite definir conjuntos de DIP y direcciones MIP
en esa interfaz. Si usted asocia un tnel VPN a una zona de tnel, no puede asociarlo tambin a
una interfaz de tnel. En tales casos, debe crear una configuracin de VPN basada en directivas.
Conceptualmente, los tneles VPN pueden imaginarse como tuberas tendidas.

Abarcan desde el dispositivo local hasta las puertas de enlace remotas, siendo las
interfaces de tnel los orificios en los extremos de esas tuberas. Las tuberas
siempre estn disponibles, listas para cuando el motor de enrutamiento enve
trfico a una de sus interfaces.
Generalmente, se asigna una direccin IP a una interfaz de tnel cuando se desea
que sta admita uno o ms conjuntos de direcciones IP dinmicas (DIP) para la
traduccin de direcciones de origen (NAT-src) y conjuntos de direcciones IP
asignadas (MIP) para la traduccin de direcciones de destino (NAT-dst). Para obtener
ms informacin sobre VPN y la traduccin de direcciones, consulte Sitios VPN
con direcciones superpuestas en la pgina 5-141). Puede crear una interfaz de
tnel con una direccin IP y una mscara de red ya sea en una zona de seguridad o
de tnel.
Si la interfaz de tnel no necesita trabajar con traduccin de direcciones y su
configuracin no requiere que la interfaz de tnel est asociada a una zona de tnel,
puede especificar la interfaz como no numerada. Una interfaz de tnel no
numerada debe asociarse a una zona de seguridad; no se puede asociar a una zona
de tnel. Tambin debe especificar una interfaz con una direccin IP que
pertenezca al mismo dominio de enrutamiento virtual que la zona de seguridad a la
que est asociada la interfaz no numerada. La interfaz de tnel no numerada toma
prestada la direccin IP de esa interfaz.
NOTA:
Para ver cmo asociar una interfaz de tnel a un tnel, consulte los ejemplos de
VPN basada en rutas en Redes privadas virtuales de punto a punto en la
pgina 5-81 y Redes privadas virtuales de acceso telefnico en la pgina 5-159.
Si est transmitiendo paquetes multicast a travs de un tnel VPN, puede habilitar
la encapsulacin de enrutamiento genrica (Generic Routing Encapsulation o
GRE) en las interfaces de tnel para encapsular los paquetes multicast en paquetes
50
Tipos de interfaces
unicast. Los dispositivos de seguridad de Juniper Networks admiten GREv1 para

encapsular paquetes IP en paquetes unicast IPv4. Para obtener ms informacin
sobre GRE, consulte Configurar el encapsulado genrico de enrutamiento en
interfaces de tnel en la pgina 7-141.
Eliminar interfaces de tnel

No se puede eliminar inmediatamente una interfaz de tnel que contenga
direcciones IP asignadas (MIP) o conjuntos de direcciones IP dinmicas (DIP). Antes
de eliminar una interfaz de tnel que contenga cualquiera de estas caractersticas,
primero debe eliminar cualquier directiva que contenga referencias a ellas. A
continuacin debe eliminar las MIP y los conjuntos de DIP en la interfaz de tnel.
Asimismo, si una configuracin de VPN basada en rutas contiene referencias a una
interfaz de tnel, antes de poder eliminar la interfaz de tnel, debe eliminar la
configuracin de VPN.
En este ejemplo, la interfaz de tnel tunnel.2 est vinculada al conjunto de DIP 8.
Existen referencias al conjunto de DIP 8 en una directiva (ID 10) para el trfico VPN
procedente de la zona Trust y destinado a la zona Untrust a travs de un tnel VPN
llamado vpn1. Para eliminar la interfaz de tnel, primero debe eliminar la directiva
(o eliminar las referencias al conjunto de DIP 8 de la directiva) y a continuacin el
conjunto de DIP. Despus debe desasociar tunnel.2 de vpn1. Despus de eliminar
todas las configuraciones que dependen de la interfaz de tnel, puede eliminar sta.
WebUI
1.
Eliminar la directiva 10, con referencias al conjunto de DIP 8
Policies (From: Trust, To: Untrust): Haga clic en Remove para la directiva con ID
10.
2.
Eliminar el conjunto de DIP 8, vinculado a tunnel.2
Network > Interfaces > Edit (para tunnel.2) > DIP: Haga clic en Remove para
la DIP con ID 8.
3.
Desasociar tunnel.2 de vpn1
VPN > AutoKey IKE > Edit (para vpn1) > Advanced: Seleccione None en la
lista desplegable Bind to: Tunnel Interface, haga clic en Return y despus en
OK.
4.
Eliminar tunnel.2
Network > Interfaces: Haga clic en Remove para tunnel.2.

CLI
1.
Eliminar la directiva 10, con referencias al conjunto de DIP 8
unset policy 10
2.
Eliminar el conjunto de DIP 8, vinculado a tunnel.2
unset interface tunnel.2 dip 8

3.
Desasociar tunnel.2 de vpn1
unset vpn vpn1 bind interface

4.
Eliminar tunnel.2
unset interface tunnel.2

save
Tipos de interfaces
51
Visualizacin de interfaces
Puede visualizar una tabla que muestre todas las interfaces existentes en su
dispositivo de seguridad. Al estar predefinidas, las interfaces fsicas aparecen en la
lista tanto si se configuran como si no. Las subinterfaces e interfaces de tnel
solamente aparecen despus de crearlas y configurarlas.
Para visualizar la tabla de interfaces en WebUI, haga clic en Network > Interfaces.
Puede especificar los tipos de interfaces a mostrar en la lista desplegable List
Interfaces.
Para ver la tabla de interfaces en CLI, utilice el comando get interface.
La tabla de interfaces muestra la informacin siguiente sobre cada interfaz:
Name: Este campo identifica el nombre de la interfaz.
IP/Netmask: Este campo identifica la direccin IP y la direccin de la mscara

de red de la interfaz.
Zone: Este campo identifica las zonas a las que est asociada la interfaz.
Type: Este campo indica el tipo de interfaz: capa 2 (Layer 2), capa 3 (Layer
3), tnel (tunnel), redundante (redundant), agregada (aggregate), VSI.
Link: Este campo identifica si la interfaz est activa (up) o inactiva (down).
Configure: Este campo permite modificar o eliminar interfaces.
Figura 31: Tabla de interfaces de WebUI
52
Visualizacin de interfaces
Figura 32: Tabla de interfaces de CLI
Configuracin de interfaces de la zona de seguridad

Esta seccin describe cmo configurar los siguientes aspectos de las interfaces de la
zona de seguridad:
NOTA:
Asociar y separar una interfaz a una zona de seguridad
Asignar una direccin a una interfaz de la zona de seguridad de capa 3 (Layer

3 o L3)
Modificar interfaces y subinterfaces fsicas
Crear subinterfaces
Eliminar subinterfaces
Para obtener ms informacin sobre cmo establecer el ancho de banda para el

trfico de una interfaz, consulte Asignacin de trfico en la pgina 197. Para
obtener ms informacin sobre las opciones de administracin y otras opciones
de servicios disponibles para cada interfaz, consulte Controlling Administrative
Traffic on page 3-25.
53
Asociacin de una interfaz a una zona de seguridad

Cualquier interfaz fsica se puede asociar ya sea a una zona de seguridad L2 o L3.
Una subinterfaz slo se puede asociar a una zona de seguridad L3, porque las
subinterfaces requieren una direccin IP. Solamente se puede asignar una direccin
IP a una interfaz despus de haberla asociado a una zona de seguridad L3.
En este ejemplo asociar ethernet5 a la zona Trust.
WebUI
Network > Interfaces > Edit (para ethernet5): Seleccione Trust en la lista
desplegable Zone Name, luego haga clic en OK.
CLI
set interface ethernet5 zone trust
save
Separar una interfaz de una zona de seguridad

Si una interfaz no est numerada, puede separarla de una zona de seguridad y
asociarla a otra. Si una interfaz est numerada, primero debe establecer su
direccin IP y mscara de red en 0.0.0.0. A continuacin, puede desasociarla de
una zona de seguridad y asociarla a otra, y (opcionalmente) reasignarle una
direccin IP y mscara de red.
En este ejemplo, ethernet3 tiene la direccin IP 210.1.1.1/24 y est asociada a la
zona Untrust. Establecer su direccin IP y mscara de red en 0.0.0.0/0 y la
asociar a la zona Null.
WebUI
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Null
CLI
set interface ethernet3 ip 0.0.0.0/0
set interface ethernet3 zone null
save
Direccionar una interfaz de la zona de seguridad L3

Al definir una interfaz o subinterfaz de la zona de seguridad de capa 3 (Layer 3 o
L3), debe asignarle una direccin IP y una mscara de red. Si se asocia la interfaz
a una zona en trust-vr, tambin se puede especificar el modo de la interfaz como
NAT o Route. (Si la zona a la que se asocia la interfaz se encuentra en untrust-vr, la
interfaz siempre estar en el modo de ruta).
NOTA:
54
Para ver ejemplos de configuracin de los modos NAT y Route, consulte el Modos
de las interfaces en la pgina 81.
Los dos tipos bsicos de direcciones IP que pueden considerarse para asignar
direcciones de interfaces son:
NOTA:
Direcciones pblicas, proporcionadas por los proveedores de servicios de

Internet (ISP) para su utilizacin en una red pblica como Internet y que deben
ser nicas
Direcciones privadas, que un administrador de red local asigna para su

utilizacin en una red privada y que pueden ser asignadas por otros
administradores para su utilizacin tambin en otras redes privadas
Cuando se agrega una direccin IP a una interfaz, el dispositivo de seguridad

comprueba mediante una peticin de ARP si la direccin IP no existe ya en la red
local. (El enlace fsico debe estar activo en ese momento). Si la direccin IP ya
existe, se genera un aviso.
Direcciones IP pblicas
Si una interfaz se conecta a una red pblica, debe tener una direccin IP pblica.
Asimismo, si una zona de seguridad L3 en untrust-vr se conecta a una red pblica y
las interfaces de las zonas en trust-vr estn en modo de ruta, todas las direcciones
de las zonas en trust-vr (para las interfaces y para los hosts) tambin deben ser
direcciones pblicas. Las direcciones IP pblicas se dividen en tres clases: A, B, y C,
segn se muestra en la Tabla 11.
Tabla 11: Rangos de direcciones pblicas
Clase de direccin Rango de direcciones
Rango de direcciones excluidas
0.0.0.0 127.255.255.255
10.0.0.0 10.255.255.255, 127.0.0.0 127.255.255.255
128.0.0.0 191.255.255.255
172.16.0.0 172.31.255.255
192.0.0.0 223.255.255.255
192.168.0.0 192.168.255.255
NOTA:
Tambin existen direcciones de las clases D y E, reservadas para fines especiales.

Una direccin IP se compone de cuatro octetos, cada uno compuesto por 8 bits. En
una direccin de clase A, los primeros 8 bits indican la identificacin de la red y los
24 bits finales indican la identificacin del host (nnn.hhh.hhh.hhh). En una
direccin de clase B, los primeros 16 bits indican la identificacin de la red y los 16
bits finales indican la identificacin del host (nnn.nnn.hhh.hhh). En una direccin
de clase C, los primeros 24 bits indican la identificacin de la red y los 8 bits finales
indican la identificacin del host (nnn.nnn.nnn.hhh).
Aplicando mscaras de subred (o mscaras de red), las redes se pueden subdividir
ms an. En esencia, una mscara de red enmascara parte de la identificacin del
host, convirtiendo la parte enmascarada en una subred de la identificacin de la
red. Por ejemplo, la mscara de 24 bits de la direccin 10.2.3.4/24 indica que los
primeros 8 bits (es decir, el primer octeto, 010) identifican la porcin de la red de
esta direccin privada de clase A, los 16 bits siguientes (es decir, los octetos
segundo y tercero, 002.003) identifican la porcin de subred de la direccin y los
ltimos 8 bits (el ltimo octeto, 004) identifican la porcin de host de la direccin.
Utilizando subredes para reducir los espacios de direcciones de grandes redes en
subdivisiones ms pequeas, aumenta significativamente la eficacia en la entrega
de datagramas IP.
55
NOTA:
El equivalente decimal con puntos de una mscara de 24 bits es 255.255.255.0.
Direcciones IP privadas
Si una interfaz se conecta a una red privada, un administrador de la red local puede
asignarle cualquier direccin, aunque segn la convencin se suele utilizar una
direccin del rango de direcciones reservado para uso privado (10.0.0.0/8,
172.16.0.0 172.31.255.255, 192.168.0.0/16) segn se define en RFC 1918,
Address Allocation for Private Internets.
Si una zona de seguridad L3 en untrust-vr se conecta a una red pblica y las
interfaces asociadas a las zonas en trust-vr estn en el modo NAT, todas las
direcciones de las zonas en trust-vr (para interfaces y para hosts) pueden ser
privadas.
Direccionar una interfaz

En este ejemplo asignar a ethernet5 la direccin IP 210.1.1.1/24 y le dar la
direccin IP de administracin 210.1.1.5. (Recuerde que la direccin IP de
administracin debe encontrarse en la misma subred que la direccin IP de la
interfaz de la zona de seguridad). Por ltimo, pondr la interfaz en modo NAT, que
traduce todas las direcciones IP internas a las interfaces predeterminadas asociadas
a las otras zonas de seguridad.
NOTA:
La interfaz predeterminada en una zona de seguridad es la primera interfaz

asociada a la zona. Para averiguar cul es la interfaz predeterminada de una zona,
consulte la columna Default IF en la pgina Network > Zones de WebUI, o la
columna Default-If en el resultado del comando CLI get zone.
WebUI
haga clic en OK:
Manage IP: 210.1.1.5
CLI
set interface ethernet5 manage-ip 210.1.1.5
save
Modificar los ajustes de la interfaz

Una vez haya configurado una interfaz fsica, una subinterfaz, una interfaz
redundante, una interfaz agregada o una interfaz de seguridad virtual (VSI), puede
cambiar posteriormente cualquiera de los ajustes siguientes si surge la necesidad:
56
Direccin IP y mscara de red.
Administrar la direccin IP.
(Interfaces de la zona L3) Servicios de administracin y de red.
(Subinterfaz) Nmero de identificacin de la subinterfaz y nmero de etiqueta

VLAN.
(Interfaces asociadas a las zonas de seguridad L3 en el trust-vr) Modo de la

interfaz: NAT o Route.
(Interfaz fsica) Ajustes del ancho de banda del trfico (consulte Asignacin de
trfico en la pgina 197).
(Interfaces fsicas, redundantes y agregadas) Tamao de la unidad de

transmisin mxima (MTU).
(Interfaces L3) Impedir que el trfico entre y salga por la misma interfaz,
incluyendo el trfico entre una subred principal y una secundaria o entre
subredes secundarias (esto se realiza mediante el comando CLI set interface
con la opcin route-deny).
En las interfaces fsicas de algunos dispositivos de seguridad se puede forzar el

estado fsico del vnculo como activo (up) o inactivo (down). Forzando el estado
fsico del vnculo como inactivo, se puede simular una desconexin del cable del
puerto de la interfaz. (Esto se consigue mediante el comando CLI set interface con
la opcin phy link-down).
En este ejemplo har algunas modificaciones a ethernet1, una interfaz asociada a la
zona Trust. Cambiar la direccin IP de administracin de 10.1.1.2 a 10.1.1.12.
Para aumentar el nivel de seguridad del trfico administrativo, tambin cambiar
las opciones de los servicios de administracin, habilitando SCS y SSL y
desactivando Telnet y WebUI.
WebUI
Network > Interfaces > Edit (para ethernet1): Realice las modificaciones
siguientes; a continuacin, haga clic en OK:
Manage IP: 10.1.1.12
Management Services: (seleccione) SSH, SSL; (borre) Telnet, WebUI
CLI
set interface ethernet1 manage-ip 10.1.1.12
set interface ethernet1 manage ssh
set interface ethernet1 manage ssl
unset interface ethernet1 manage telnet
unset interface ethernet1 manage web
save
Crear una subinterfaz en el sistema raz

Puede crear una subinterfaz en cualquier interfaz fsica del sistema raz o sistema
virtual. Una subinterfaz hace uso del etiquetado de VLAN para distinguir el trfico
asociado a ella del trfico asociado a otras interfaces. Observe que aunque una
subinterfaz tiene su origen en una interfaz fsica, de la cual toma prestado el ancho
de banda que necesita, una subinterfaz se puede asociar a cualquier zona, no
necesariamente la misma a la que est asociada su interfaz padre. Adems, la
direccin IP de una subinterfaz debe encontrarse en una subred diferente que las
direcciones IP de todas las dems interfaces y subinterfaces fsicas.
57
NOTA:
Tambin puede configurar subinterfaces en interfaces redundantes y VSI. Para ver

un ejemplo que contenga la configuracin de una subinterfaz en una interfaz
redundante, consulte Conmutacin por error del sistema virtual en la
pgina 11-93.
En este ejemplo crear una subinterfaz para la zona Trust en el sistema raz.
Configurar la subinterfaz en ethernet1, que est asociada a la zona Trust. Asociar
la subinterfaz a una zona definida por el usuario llamada accounting, que se
encuentra en el trust-vr. Le asignar la identificacin de subinterfaz 3, direccin IP
10.2.1.1/24 e identificacin 3 de etiqueta VLAN. El modo de la interfaz es NAT.
WebUI
Network > Interfaces > New Sub-IF: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: ethernet1.3
Zone Name: accounting
VLAN Tag: 3
CLI
set interface ethernet1.3 zone accounting
set interface ethernet1.3 ip 10.2.1.1/24 tag 3
save
Eliminar una subinterfaz

No se puede eliminar inmediatamente una subinterfaz que contenga direcciones IP
asignadas (MIP), direcciones IP virtuales (VIP) o conjuntos de direcciones IP
dinmicas (DIP). Antes de eliminar una subinterfaz que contenga cualquiera de
estas caractersticas, primero debe eliminar todas las directivas o puertas de enlace
IKE que contengan referencias a ellas. Seguidamente, deber eliminar las MIP, VIP y
los conjuntos de DIP de la subinterfaz.
En este ejemplo eliminar la subinterfaz ethernet1:1.
WebUI
Network > Interfaces: Haga clic en Remove para ethernet1:1.
Un mensaje del sistema le pedir que confirme la eliminacin.
Haga clic en Yes para eliminar la subinterfaz.
CLI
unset interface ethernet1:1
save
58
Crear una direccin IP secundaria

Cada interfaz de ScreenOS tiene una sola direccin IP nica y principal . Sin
embargo, algunas situaciones exigen que una interfaz tenga varias direcciones IP.
Por ejemplo, una organizacin puede tener asignaciones de direcciones IP
adicionales y puede no desear agregar un enrutador para gestionarlas. Adems, una
organizacin puede tener ms dispositivos de red de los que su subred puede
manejar, como cuando hay ms de 254 hosts conectados a una LAN. Para
solucionar tales problemas, puede agregar direcciones IP secundarias a una interfaz
en la zona Trust, DMZ o definida por el usuario.
NOTA:
No se pueden crear direcciones IP secundarias mltiples para interfaces en la zona

Untrust.
Las direcciones secundarias tienen ciertas propiedades que afectan a cmo se
pueden implementar tales direcciones. Estas propiedades son las siguientes:
Entre dos direcciones IP secundarias cualesquiera no puede haber

superposiciones en las direcciones de subred. Tampoco puede haber
superposiciones en las direcciones de subred entre una IP secundaria y
cualquier subred existente en el dispositivo de seguridad.
Cuando se administra un dispositivo de seguridad a travs de una direccin IP

secundaria, la direccin siempre tiene las mismas propiedades de
administracin que la direccin IP principal. Por lo tanto, no se puede
especificar una configuracin de administracin separada para la direccin IP
secundaria.
Tampoco se puede configurar una puerta de enlace para una direccin IP

secundaria.
Siempre que se cree una nueva direccin IP secundaria, el dispositivo de

seguridad crear automticamente la correspondiente entrada en la tabla de
enrutamiento. Cuando se elimina una direccin IP secundaria, el dispositivo
elimina automticamente la entrada correspondiente en la tabla de
enrutamiento.
Habilitar o inhabilitar el enrutamiento entre dos direcciones IP secundarias no

causa ningn cambio en la tabla de enrutamiento. Por ejemplo, si inhabilita el
enrutamiento entre dos direcciones de ese tipo, el dispositivo de seguridad descarta
cualquier paquete dirigido de una interfaz a otra, pero no se producir ningn
cambio en la tabla de enrutamiento.
En este ejemplo configurar una direccin IP secundaria (192.168.2.1/24) para
ethernet1, una interfaz con la direccin IP 10.1.1.1/24 asociada a la zona Trust.
WebUI
Network > Interfaces > Edit (para ethernet1) > Secondary IP: Introduzca los
siguientes datos y haga clic en Add:
CLI
set interface ethernet1 ip 192.168.2.1/24 secondary
save
Crear una direccin IP secundaria 59
Interfaces de bucle invertido (loopback)

Una interfaz de bucle invertido es una interfaz lgica que emula una interfaz fsica
en el dispositivo de seguridad. Sin embargo, a diferencia de una interfaz fsica, una
interfaz de bucle invertido est siempre en estado activo mientras el dispositivo en
el que reside est activo. Las interfaces de bucle invertido se denominan
loopback.id_num, en donde id_num es un nmero superior o igual a 1 y denota una
interfaz de bucle invertido nica en el dispositivo. Como en una interfaz fsica, se
debe asignar una direccin IP a una interfaz de bucle invertido y asociarla a una
zona de seguridad.
NOTA:
El valor mximo de id_num que se puede especificar depende de cada

plataforma.
Despus de definir una interfaz de bucle invertido, puede definir otras interfaces
como miembros de su grupo. El trfico puede alcanzar una interfaz de bucle
invertido si llega a travs de una de las interfaces de su grupo. Cualquier tipo de
interfaz puede ser miembro de un grupo de interfaces de bucle invertido: interfaz
fsica, subinterfaz, interfaz de tnel, interfaz redundante o VSI.
Despus de crear una interfaz de bucle invertido, puede utilizarla en muchas de las
maneras de una interfaz fsica:
NOTA:
Ajustar la interfaz de bucle invertido para Administracin en la pgina 61
Ajustar BGP en una interfaz de bucle invertido en la pgina 61
Ajustar VSI en una interfaz de bucle invertido en la pgina 62
Ajustar la interfaz de bucle invertido como interfaz de origen en la pgina 62
No se puede asociar una interfaz de bucle invertido a una zona HA ni configurar

una interfaz de bucle invertido para el funcionamiento de la capa 2, ni como
interfaz redundante/agregada. En interfaces de bucle invertido no se pueden
configurar las siguientes caractersticas: NTP, DNS, VIP, IP secundaria, seguimiento
de IP o WebAuth.
Puede definir una MIP en una interfaz de bucle invertido. Esto permite que la MIP
sea accesible por un grupo de interfaces; esta capacidad es exclusiva de las
interfaces de bucle invertido. Para obtener ms informacin sobre cmo usar la
interfaz de bucle invertido con MIP, consulte MIP y la interfaz de bucle invertido
(loopback) en la pgina 8-75.
Puede administrar el dispositivo de seguridad utilizando la direccin IP de una
interfaz de bucle invertido o la direccin IP de administracin asignada a una
interfaz de bucle invertido.
Crear una interfaz de bucle invertido

En el ejemplo siguiente crear la interfaz loopback.1, la asociar a la zona Untrust y
le asignar la direccin IP 1.1.1.27/24.
60
WebUI
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Interface Name: loopback.1
Zona: Untrust (seleccione)
IP Address/Netmask: 1.1.1.27./24
CLI
set interface loopback.1 zone untrust
set interface loopback.1 ip 1.1.1.27
save
NOTA:
La interfaz de bucle invertido no es directamente accesible desde redes o hosts

que residen en otras zonas. Debe definir una directiva para permitir trfico desde
y hacia la interfaz.
Ajustar la interfaz de bucle invertido para Administracin

En el ejemplo siguiente configurar la interfaz loopback.1, definida anteriormente,
como interfaz de administracin para el dispositivo.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione todas las opciones de
administracin; a continuacin, haga clic en OK.
CLI
set interface loopback.1 manage
save
Ajustar BGP en una interfaz de bucle invertido

La interfaz de bucle invertido admite el protocolo de enrutamiento dinmico BGP
en el dispositivo de seguridad. En el ejemplo siguiente habilitar BGP en la interfaz
loopback.1.
NOTA:
Para habilitar BGP en la interfaz loopback, primero debe crear una instancia de
BGP para el enrutador virtual al que planea asociar la interfaz. Para obtener ms
informacin sobre cmo configurar BGP en dispositivos de seguridad de Juniper
Networks, consulte Volumen 7: Enrutamiento.
WebUI
Network > Interfaces > loopback.1 > Edit: Seleccione Protocol BGP; a
continuacin, haga clic en OK.
CLI
set interface loopback.1 protocol bgp
save
61
Ajustar VSI en una interfaz de bucle invertido

Puede configurar las interfaces de seguridad virtuales (VSI) para NSRP en una
interfaz de bucle invertido. El estado fsico del VSI en la interfaz de bucle invertido
est siempre activo. La interfaz puede ser activa o no, dependiendo del estado del
grupo VSD al que pertenece.
WebUI
Network > Interfaces > New VSI IF: Introduzca los siguientes datos y haga clic
en OK:
Interface Name: VSI Base: loopback.1
Grupo VSD: 1
CLI
set interface loopback.1:1 ip 1.1.1.1/24
save
Ajustar la interfaz de bucle invertido como interfaz de origen

Puede utilizar una interfaz de bucle invertido como interfaz de origen para
determinado trfico originado en el dispositivo de seguridad. (Cuando se define una
interfaz de origen para una aplicacin, se utiliza la direccin de la interfaz de origen
especificada en lugar de la direccin de la interfaz saliente para comunicarse con un
dispositivo externo). En el ejemplo siguiente especificar que el dispositivo de
seguridad utilice la interfaz anteriormente definida loopback.1 para enviar paquetes
de syslog.
WebUI
Configuration > Report Settings > Syslog: Introduzca los siguientes datos y
haga clic en Apply:
Enable Syslog Messages: (seleccione)
Source interface: loopback.1 (seleccione)
Syslog Servers:
No.: 1 (seleccione)
IP/Hostname: 10.1.1.1
Traffic Log: (seleccione)
Event Log: (seleccione)
CLI
set syslog config 10.1.1.1 log all
set syslog src-interface loopback.1
set syslog enable
save
Cambios de estado de la interfaz

Una interfaz puede estar en uno de los estados siguientes:
62
Fsicamente activa:Para interfaces Ethernet fsicas que operan en la capa 2

(modo transparente) o en la capa 3 (modo de ruta) en el modelo de
interconexin de sistemas abiertos (Open Systems Interconnection u OSI). Una
interfaz est fsicamente activa cuando est cableada a otro dispositivo de red y
puede establecer un enlace a ese dispositivo.
Lgicamente activas: Tanto para interfaces fsicas como para interfaces lgicas
(subinterfaces, interfaces redundantes e interfaces agregadas). Una interfaz
est lgicamente activa cuando el trfico que la atraviesa puede alcanzar los
dispositivos especificados (en las direcciones IP supervisadas) de una red.
Fsicamente inactivas: Una interfaz est fsicamente inactiva cuando no est

cableada a otro dispositivo de la red o cuando, an estando cableada, no puede
establecer un enlace. Tambin puede forzar que una interfaz est fsicamente
inactiva ejecutando el comando CLI siguiente: set interface interface phy
link-down.
Lgicamente inactiva: Una interfaz est lgicamente inactiva cuando el trfico

que la atraviesa no puede alcanzar los dispositivos especificados (en las
direcciones IP que estn sujetas a seguimiento) de una red.
El estado fsico de una interfaz tiene prioridad sobre su estado lgico. Una interfaz
puede estar fsicamente activa y, al mismo tiempo, lgicamente activa o inactiva.
Cuando una interfaz est fsicamente inactiva, su estado lgico es irrelevante.
Cuando el estado de una interfaz es activo, todas las rutas que utilizan esa interfaz
permanecen activas y utilizables. Cuando el estado de una interfaz es inactivo, el
dispositivo de seguridad desactiva todas las rutas que utilizan esa interfaz aunque,
dependiendo de si la interfaz est fsicamente o lgicamente inactiva, el trfico
podra seguir atravesando una interfaz en estado inactivo (consulte Interfaces
inactivas y flujo de trfico en la pgina 75). Para compensar la prdida de rutas
que implica la prdida de una interfaz, puede configurar rutas alternativas
utilizando una interfaz alternativa.
Dependiendo de la accin configurada para ejecutarse al detectar un cambio de
estado en una interfaz supervisada, el cambio del estado activo al inactivo en una
interfaz supervisada puede hacer que la interfaz supervisora cambie su estado de
inactivo a activo. Para configurar este comportamiento, puede utilizar el siguiente
comando CLI:
set interface interface monitor threshold number action up { logically | physically }
Al introducir este comando, el dispositivo de seguridad fuerza automticamente la

interfaz supervisora al estado inactivo. Si el objeto supervisado (direccin IP,
interfaz o zona supervisada) falla, el estado de la interfaz supervisora se activa
(lgica o fsicamente, dependiendo de su configuracin).
Una interfaz puede supervisar objetos en cuanto al menos uno de los eventos
siguientes. Consulte la Figura 33 en la pgina 64. Cada uno de estos eventos,
individual o combinado, puede provocar que el estado de la interfaz supervisora
cambie de activo a inactivo o viceversa:
Desconexin/reconexin fsica
Fallo/xito del seguimiento de IP
Fallo/xito de una interfaz supervisada
Fallo/xito de una zona de seguridad supervisada
63
Figura 33: Supervisin del estado de interfaces

...y el peso para ese objeto
el umbral de falla de
supervisin
Si un objeto supervisado falla
Desconexin
fsica
La interfaz se desconecta.
...y la accin se establece como

desactivar
Fallo del
seguimiento de IP
entonces la interfaz
supervisora se desactiva.
Falla de la Interfaz
supervisada
Ninguna respuesta a las peticiones de eco

ICMP.
Supervisin
de Interfaz
Falla de la zona
supervisada
Los fallos de seguimiento de IP exceden

el umbral.
Zona de seguridad
Todas las interfaces en la misma zona se

desactivan.
Si, despus de fallar, un objeto supervisado tiene xito (la interfaz se reconecta o el
seguimiento de IP vuelve a tener xito), la interfaz supervisora vuelve a activarse.
Existe un retardo de aproximadamente un segundo entre el momento en que el
objeto supervisado tiene xito y la reactivacin de la interfaz supervisora.
Cada uno de los eventos antes indicados se presenta en las secciones siguientes.
Supervisin de la conexin fsica

Las interfaces fsicas de un dispositivo de seguridad supervisan el estado de su
conexin fsica a otros dispositivos de la red. Cuando una interfaz est conectada a
otro dispositivo de la red y ha establecido un enlace con l, su estado es fsicamente
activo y todas las rutas que utilizan esa interfaz estn activas.
Puede consultar el estado de una interfaz en la columna State del resultado del
comando get interface y en la columna Link de la pgina Network > Interfaces
de WebUI. Puede estar activo (up) o inactivo (down).
Puede consultar el estado de una ruta en el campo de estado del comando get
route id number y en la pgina Network > Routing > Routing Entries de WebUI.
Un asterisco indica que la ruta est activa. Si no hay asterisco, est inactiva.
64
Dar seguimiento a direcciones IP

El dispositivo de seguridad puede realizar un seguimiento de direcciones IP
especficas a travs de una interfaz, de forma que cuando una o varias de ellas
queden inaccesibles, el dispositivo de seguridad pueda desactivar todas las rutas
asociadas a esa interfaz, incluso si la conexin fsica sigue activa. Una ruta
desactivada vuelve a activarse cuando el dispositivo de seguridad retoma el
contacto con esas direcciones IP.
NOTA:
En ciertos dispositivos con ScreenOS, esta accin tambin hace que se conmute
por error a la interfaz de respaldo asociada a la misma zona que la interfaz en la
que se configur el seguimiento de IP (consulte Definir la conmutacin por error
de interfaces en la pgina 11-52).
ScreenOS utiliza una supervisin de rutas de capa 3, o seguimiento de IP, similar a la
utilizada con NSRP para supervisar la accesibilidad de direcciones IP especficas a
travs de una interfaz. Por ejemplo, si una interfaz se conecta directamente a un
enrutador, es posible hacer un seguimiento de la direccin de salto siguiente en la
interfaz para determinar si el enrutador sigue estando accesible. Al configurar el
seguimiento de IP en una interfaz, el dispositivo de seguridad enva peticiones de
eco ICMP (ping) en la interfaz a un mximo de cuatro direcciones IP de destino a
intervalos definidos por el usuario. El dispositivo de seguridad supervisa estos
objetivos para comprobar si se recibe una respuesta. Si no se recibe respuesta de un
destino durante un nmero especfico de veces, dicha direccin IP se considera
inaccesible. Si no se obtiene respuesta de uno o ms destinos, es posible que el
dispositivo de seguridad desactive las rutas asociadas a dicha interfaz. Si hay
disponible otra ruta que conduzca al mismo destino, el dispositivo de seguridad
redirige el trfico para utilizar la nueva ruta.
Puede definir el seguimiento de IP en las siguientes interfaces para las que haya
configurado una direccin IP de administracin:
NOTA:
NOTA:
Interfaz fsica asociada a una zona de seguridad (no las zonas funcionales HA o
MGT)
La interfaz puede operar en la capa 2 (modo transparente) o en la capa 3 (modo

de ruta).
Subinterfaz
Interfaz redundante
Interfaz agregada
Aunque la interfaz puede ser una interfaz redundante o una interfaz agregada, no
puede ser un miembro de una interfaz redundante o agregada.
En los dispositivos que admiten sistemas virtuales, la interfaz en la que se
establezca el seguimiento de IP puede pertenecer al sistema raz o a un sistema
virtual (vsys). Sin embargo, en una interfaz compartida el seguimiento de IP slo se
puede establecer en el nivel raz.
65
NOTA:
Desde un vsys, puede establecer la supervisin de una interfaz compartida desde

una interfaz que pertenezca al vsys. Sin embargo, desde dentro del vsys no se
puede establecer la supervisin de interfaces desde una interfaz compartida. Para
obtener ms informacin, consulte Supervisin de interfaces en la pgina 70.
Para cada interfaz se puede configurar el seguimiento de hasta cuatro direcciones IP
por parte del dispositivo de seguridad. En un nico dispositivo, se pueden
configurar hasta 64 direcciones IP de seguimiento. En esta suma se incluyen todas
las direcciones IP de seguimiento, independientemente de si se utilizan para el
seguimiento de IP basado en interfaz, para el seguimiento de IP basado en NSRP, en
el nivel raz o en el nivel vsys.
Las direcciones IP de seguimiento no tienen por qu estar en la misma subred que
la interfaz. Por cada direccin IP que desee someter a un seguimiento, se puede
especificar lo siguiente:
Intervalo, en segundos, transcurrido el cual se enviarn las peticiones de eco a

la direccin IP especificada.
Nmero de intentos de peticin de eco consecutivos sin xito antes de que se

considere que la conexin con la direccin IP ha fallado.
Peso de la conexin IP fallida (una vez que la suma de pesos de todas las
conexiones IP fallidas supera un umbral determinado, se desactivan las rutas
asociadas a la interfaz).
Tambin puede configurar el dispositivo de seguridad para darle seguimiento a la

puerta de enlace predeterminada de una interfaz que sea un cliente PPPoE o DHCP.
Para ello, utilice la opcin Dynamic: (CLI) set interface interface monitor
dynamic o bien (WebUI) Network > Interfaces > Edit (para la interfaz cliente
DHCP o PPPoE) > Monitor > Track IP > Add: Seleccione Dynamic.
NOTA:
Cuando se configura el dispositivo de seguridad para que realice un seguimiento

de una direccin IP, el dispositivo de seguridad no agrega ninguna ruta de host
para dicha direccin IP en la tabla de enrutamiento.
Pueden establecerse dos tipos de umbrales en la configuracin del seguimiento de
direcciones IP:
66
Umbral de fallos de una determinada direccin IP supervisada: Nmero de

intentos fallidos consecutivos por obtener respuesta a una peticin de eco
(ping) de una determinada direccin IP que deben producirse para que se
considere un fallo de acceso a esa direccin. Si no se supera el umbral, el nivel
de conectividad con la direccin ser aceptable; si se supera, el nivel de
conectividad ser inaceptable. Este umbral se establece para cada direccin IP
con un valor entre 1 y 200. El valor predeterminado es 3.
Umbral de fallos de seguimiento de IP en la interfaz: Peso total de los intentos

fallidos acumulados por acceder a direcciones IP de la interfaz que causa la
desactivacin de las rutas asociadas a dicha interfaz. Este umbral se puede
ajustar en cualquier valor entre 1 y 255. El valor predeterminado es 1, lo que
significa que cualquier fallo producido al intentar acceder a una direccin IP
configurada y supervisada provoca la desactivacin de las rutas asociadas a la
interfaz.
Si se aplica un peso (o valor) a una direccin IP supervisada, se puede ajustar la

importancia de la conectividad de esa direccin en relacin con el acceso a otras
direcciones supervisadas. Puede asignar pesos relativamente mayores a direcciones
relativamente ms importantes, y pesos menores a direcciones menos importantes.
Observe que los pesos asignados slo tienen relevancia cuando se alcanza el
umbral de fallos de una direccin IP especfica supervisada. Por ejemplo, si el
umbral de fallos para el seguimiento de IP en una interfaz es 3, el fallo de una nica
direccin IP sometida a seguimiento con un peso de 3 completa el umbral de fallos
para el seguimiento de IP en la interfaz, lo que hace que se desactiven las rutas
asociadas a la interfaz. El fallo de una nica direccin IP sometida a seguimiento
con un peso de 1 no completara el umbral de fallos para el seguimiento de IP en la
interfaz, por lo que las rutas asociadas a la interfaz seguiran activas.
En el ejemplo siguiente, la interfaz ethernet1 est asociada a la zona Trust y tiene
asignada la direccin de red 10.1.1.1/24. Las interfaces ethernet3 y ethernet4 estn
asociadas a la zona Untrust. La interfaz ethernet3 tiene asignada la direccin de red
1.1.1.1/24 y est conectada al enrutador en 1.1.1.250. La interfaz ethernet4 tiene
asignada la direccin de red 2.2.2.1/24 y est conectada al enrutador en 2.2.2.250.
Consulte la Figura 34.
Figura 34: Seguimiento de IP de interfaz
ethernet1
10.1.1.1/24
ethernet3
1.1.1.1/24
Enrutador
1.1.1.250
Zona Trust
Zona Untrust
Internet
10.1.1.0/24
ethernet4
2.2.2.1/24
Enrutador
2.2.2.250
Hay dos rutas predeterminadas configuradas: en una se utiliza ethernet3 como

interfaz de salida con la direccin de enrutador 1.1.1.250 como puerta de enlace;
en la otra (configurada con un valor mtrico de 10) se utiliza ethernet4 como
interfaz de salida con la direccin de enrutador 2.2.2.250 como puerta de enlace. La
ruta predeterminada en la que se utiliza ethernet3 es la ruta preferente, puesto que
tiene un valor mtrico inferior (el valor mtrico predeterminado para rutas estticas
es 1). El siguiente resultado del comando get route indica cuatro rutas activas para
trust-vr (las rutas activas se sealan con un asterisco). La ruta predeterminada que
pasa por ethernet3 est activa; la ruta predeterminada que pasa por ethernet4 no
est activa, puesto que tiene menos prioridad.
67
Figura 35: Salida del comando get route
ns-> get route

untrust-vr (0 entries)
---------------------------------------------------------------------------------------------------C - Connected, S - Static, A - Auto-Exported, I - Imported, R - RIP
iB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1
E2 - OSPF external type 2
trust-vr (4 entries)
----------------------------------------------------------------------------------------------------ID
IP-Prefix
Interface
Gateway P Pref
Mtr
Vsys
----------------------------------------------------------------------------------------------------* 4
0.0.0.0/0
eth3
* 2
1.1.1.0/24
eth3
0.0.0.0/0
eth4
1.1.1.250 S 20
0.0.0.0 C
2.2.2.250 S 20
* 6
2.2.2.0/24
eth4
0.0.0.0 C
* 5
10.1.1.0/24
eth1
0.0.0.0 C 20
1
0
10
1
1
Root
Root
Root
Root
Root
Si la ruta que atraviesa ethernet3 deja de estar disponible, la ruta predeterminada

que pasa por ethernet4 se convertir en ruta activa. Active y configure el
seguimiento de IP en la interfaz ethernet3 para supervisar la direccin de enrutador
1.1.1.250. Si el seguimiento de IP falla al acceder a 1.1.1.250, todas las rutas
asociadas a la interfaz ethernet3 pasan a ser inactivas en el dispositivo de
seguridad. En consecuencia, la ruta predeterminada que atraviesa ethernet4 se
convierte en activa. Cuando el seguimiento IP pueda acceder a 1.1.1.250 de nuevo,
la ruta predeterminada que pasa por ethernet3 se convertir en la ruta activa y, al
mismo tiempo, la ruta predeterminada que atraviesa ethernet4 pasar a estado
inactivo, ya que tiene un nivel de prioridad menor que la ruta que pasa por
ethernet3.
Con los siguientes ajustes se activa el seguimiento de IP con un umbral de fallos de
interfaz de 5 y se configura el seguimiento de IP en la interfaz ethernet3 para
supervisar la direccin IP de enrutador 1.1.1.250, que tiene asignado un peso de
10.
WebUI
Network > Interfaces > Edit (para ethernet3) > Monitor: Introduzca los
siguientes datos y haga clic en Apply:
Enable Track IP: (seleccione)
Threshold: 5
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en Add:
Static: (seleccione)
Track IP: 1.1.1.250
Weight: 10
68
CLI
set interface ethernet3 monitor track-ip ip 1.1.1.250 weight 10
set interface ethernet3 monitor track-ip threshold 5
set interface ethernet3 monitor track-ip
save
En este ejemplo, el umbral de fallos para la direccin de destino est ajustado al

valor predeterminado (3). Es decir, si el destino no devuelve una respuesta a tres
peticiones de eco consecutivas, se aplica un peso de 10 al umbral de fallos para el
seguimiento de IP en la interfaz. Como el umbral de fallos para el seguimiento de IP
en la interfaz es 5, un peso de 10 hace que se desactiven las rutas asociadas a la
interfaz en el dispositivo de seguridad.
Puede verificar el estado del seguimiento de IP en la interfaz introduciendo el
comando CLI get interface ethernet3 track-ip tal como se indica en la Figura 36.
Figura 36: Salida del comando get interface
ns-> get interface ethernet3 track-ip

ip addressintervalthreshold wei gatewayfail-countsuccess-rate
1.1.1.250 11100.0.0.034346%
threshold: 5, failed: 1 ip(s) failed, weighted sum = 10
El comando get route indica que la ruta predeterminada que atraviesa ethernet4
est activa en estos momentos; todas las rutas que pasan por ethernet3 han dejado
de estar activas.
Figura 37: Salida del comando get route
ns-> get route
untrust-vr (0 entries)
---------------------------------------------------------------------C - Connected, S - Static, A - Auto-Exported, I - Imported, R - RIP
iB - IBGP, eB - EBGP, O - OSPF, E1 - OSPF external type 1
E2 - OSPF external type 2
trust-vr (4 entries)
---------------------------------------------------------------------ID IP-PrefixInterfaceGateway PPref MtrVsys
---------------------------------------------------------------------40.0.0.0/0eth31.1.1.250S201Root
21.1.1.0/24eth30.0.0.0C00Root
*
30.0.0.0/0eth42.2.2.250S2010Root
62.2.2.0/24eth40.0.0.0C01Root
510.1.1.0/24eth10.0.0.0C201Root
Recuerde que aunque las rutas que pasan por ethernet3 no estn activas, el
seguimiento de IP utiliza las rutas asociadas a ethernet3 para continuar enviando
peticiones de eco a la direccin IP de destino. Cuando el seguimiento de IP puede
acceder de nuevo a 1.1.1.250, la ruta predeterminada que atraviesa ethernet3 se
vuelve a convertir en la ruta activa del dispositivo de seguridad. Al mismo tiempo,
la ruta predeterminada que pasa por ethernet4 se convierte en ruta inactiva, ya que
su nivel de prioridad es inferior al de la ruta predeterminada que pasa por
ethernet3.
69
Supervisin de interfaces
Un dispositivo de seguridad puede supervisar el estado fsico y lgico de las
interfaces y ejecutar una determinada accin en funcin de los cambios
observados. Consulte la Figura 38. Por ejemplo, si el estado de una interfaz
supervisada cambia de activo a inactivo, puede ocurrir lo siguiente, segn se
muestra en la Tabla 12.
Tabla 12: Interfaz supervisada
Si:
Despus:
El estado fsico de una

El cambio de estado puede provocar que otra interfaz que est
interfaz cambia de activo supervisando a la que acaba de desactivarse tambin se desactive.
a inactivo
Puede especificar si la segunda interfaz debe quedar fsica o
lgicamente desactivada.
El cambio de estado de la interfaz que se est desactivando
fsicamente, o el peso combinado de ambas interfaces desactivndose
fsicamente juntas, puede desencadenar un fallo de NSRP. Un fallo del
dispositivo NSRP o de un grupo VSD slo puede producirse como
resultado de un cambio en el estado fsico de una interfaz.
El estado lgico de una
interfaz cambia de activo
a inactivo como
resultado de un fallo de
seguimiento de IP
El cambio de estado puede provocar que otra interfaz que est

supervisando a la que acaba de desactivarse tambin se desactive.
Aunque la primera interfaz est lgicamente inactiva, puede
especificar si el estado inactivo de la segunda interfaz debe ser lgico
o fsico.
Figura 38: Supervisin de interfaces de Ethernet1 and Ethernet2

Una interfaz supervisando a otra interfaz
Utilizando el seguimiento de IP,
ethernet3 supervisa al enrutador
en 1.1.1.250.
Utilizando la supervisin de
interfaces, ethernet2 supervisa a
ethernet3.
ethernet3
IP 1.1.1.1
ethernet2
IP 2.1.1.1
Para establecer la supervisin de interfaces, ejecute cualquiera de los siguientes

procedimientos:
WebUI
Network > Interfaces > Edit (para la interfaz que desee supervisar) > Monitor
> Edit Interface: Introduzca los siguientes datos y haga clic en Apply:
Interface Name: Seleccione la interfaz que desea que sea supervisada.
Weight: Indique un peso entre 1 y 255.
CLI
set interface interface1 monitor interface interface2 [ weight number ]
Si no indica un peso, el dispositivo de seguridad aplica el valor predeterminado,

255
70
Cuando dos interfaces se supervisan mutuamente, forman un bucle. En este caso, si

cualquiera de las interfaces cambia de estado, la otra interfaz del bucle tambin lo
hace. Consulte la Figura 39.
NOTA:
Una interfaz slo puede pertenecer a un bucle a la vez. No admitimos

configuraciones en las que una interfaz pertenezca a varios bucles.
Figura 39: Supervisin de bucles

Primer cambio de
estado, si:
Bucle - Dos interfaces supervisndose

mutuamente
Utilizando el seguimiento de IP,
ambas interfaces supervisan
enrutadores.
Utilizando la supervisin de
interfaces, tambin se
supervisan mutuamente.
ethernet3
IP 1.1.1.1
Segundo cambio de
estado, si:
El nmero de intentos fracasados

de ejecutar un "ping" a cualquiera de
los enrutadores excede el umbral de
fallos de esa direccin IP
supervisada
El peso del IP de seguimiento de
falla es mayor que o igual al umbral
de falla del objeto de seguimiento
El peso del objeto de seguimiento
es mayor que o igual que el umbral
de falla de supervisin
La accin en caso de fallo es
cambiar de activo a inactivo
Despus:
La segunda interfaz tambin cambia
su estado de activo a inactivo.
ethernet2
IP 2.1.1.1
El peso de la falla de la
primera interfaz es mayor que o
igual al umbral de la falla de
supervisin de la segunda
interfaz
La accin en caso de fallo es
cambiar de activo a inactivo
Despus:
La segunda interfaz tambin cambia
su estado de activo a inactivo.
Supervisin de dos interfaces

En este ejemplo, configurar ethernet3 para supervisar dos interfaces: ethernet1 y
ethernet2. Dado que el peso de cada interfaz supervisada (8 + 8) es igual al umbral
de fallos de supervisin (16), tanto ethernet1 como ethernet deben fallar (y cambiar
su estado de activo a inactivo) simultneamente para provocar el fallo de ethernet3
(y cambiar su estado de activo a inactivo). Consulte la Figura 40.
NOTA:
Este ejemplo omite la configuracin del seguimiento de IP en las interfaces ethernet1 y

ethernet2 (consulte Dar seguimiento a direcciones IP en la pgina 65). Sin
seguimiento de IP, la nica manera de que ethernet1 y ethernet2 puedan fallar es que
sean desconectadas fsicamente de otros dispositivos de la red o que no puedan
mantener enlaces con esos dispositivos.
Si establece el umbral de fallos de supervisin en 8, o lo deja en 16 y establece el peso
de cada interfaz supervisada en 16, el fallo de ethernet1 o de ethernet2 puede hacer
fallar a ethernet3.
Figura 40: Supervisin de interfaz de dos bucles

ethernet3 supervisa a ethernet1 y a ethernet2. Dado que el umbral de fallos
de supervisin (F-T) = los pesos (W) de ambas interfaces combinadas, para
hacer fallar a ethernet3 deben fallar las dos interfaces supervisadas.
Interfaces de dispositivo de
seguridad
ethernet1 ethernet8
W=8
W=8
F-T: 16
Interfaces supervisadas:
ethernet1, peso 8
ethernet2, peso 8
Umbral de fallos de supervisin: 16
71
WebUI
Network > Interfaces > Edit (para ethernet3) > Monitor > Edit Interface:
Introduzca los siguientes datos y haga clic en Apply:
ethernet1: (seleccione), Weight: 8
Network > Interfaces > Edit (para ethernet3) > Monitor: Escriba 16 en el
campo Monitor Threshold; a continuacin, haga clic en Apply.
CLI
set interface ethernet3 monitor interface ethernet1 weight 8
set interface ethernet3 monitor interface ethernet2 weight 8
set interface ethernet3 monitor threshold 16
save
Supervisar un bucle de interfaz

En este ejemplo, primero configurar el seguimiento de IP para dos interfaces,
ethernet1 y ethernet3. A continuacin, configurar estas interfaces para
supervisarse mutuamente de modo que, si una cambia de estado, la otra acte de
igual modo. Por ltimo, definir dos conjuntos de rutas. El primer conjunto reenva
trfico a travs de ethernet1 y ethernet3. El segundo conjunto tiene las mismas
direcciones de destino, pero estas rutas tienen mtricas de menor rango y utilizan
otras interfaces de salida (ethernet2 y ethernet4) y otras puertas de enlace que el
primer conjunto. Con esta configuracin, si el primer conjunto de interfaces falla, el
dispositivo de seguridad puede redirigir todo el trfico a travs del segundo
conjunto. Todas las zonas se encuentran en el dominio de enrutamiento trust-vr.
Figura 41: Supervisin de cuatro bucles de interfaz
A los hosts de la
zona Trust
Enrutador
interno
10.1.1.250
10.1.2.250
10.1.1.1/24
Zona Trust
Interfaces de
dispositivo de
seguridad
ethernet1 ethernet8
ethernet1 y ethernet3 se
supervisan mutuamente.
Dado que el peso de la
interfaz supervisada es
igual al umbral de fallos de
supervisin, el fallo de
cualquier interfaz hace
que la otra falle tambin.
72
Enrutador
externo
1.1.1.250
1.1.2.250
1.1.1.1/24
10.1.2.1/24 Zona Untrust
Zona Trust
Bucle de interfaz supervisora:

ethernet1 y ethernet3
Peso de la interfaz supervisada: 8
ethernet1 y ethernet3 realizan el seguimiento de

IP. ethernet1 supervisa al enrutador interno en
10.1.1.250. ethernet3 supervisa al enrutador
externo en 1.1.1.250.
A Internet
Umbral de fallos de la IP supervisada: 10

Peso de la IP supervisada: 8
Peso del objeto supervisado: 8
1.1.2.1/24
Zona Untrust
Si ethernet1 y ethernet3 se desactivan, las rutas que se refieren a esas

interfaces tambin quedan inactivas. Entonces, el dispositivo de
seguridad redirige el trfico a travs de ethernet2 y ethernet4.
Rutas
set route
set route
set route
set route
10.1.0.0/16 interface ethernet1 gateway 10.1.1.250 metric

10.1.0.0/16 interface ethernet2 gateway 10.1.2.250 metric
0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 metric 10
0.0.0.0/0 interface ethernet4 gateway 1.1.2.250 metric 12
WebUI
1.
IP Tracking (Seguimiento de IP)
siguientes datos y haga clic en Apply.
Monitor Threshold: 8
Track IP Option: Threshold: 8
Weight: 8
NOTA:
Para controlar si el estado de una interfaz se vuelve lgica o fsicamente inactivo (o

activo), debe utilizar el comando CLI set interface interface monitor threshold
number action { down | up } { logically | physically }. Slo se pueden activar o
desactivar interfaces fsicas asociadas a cualquier zona de seguridad distinta de la
zona Null.
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en
Add:
Track IP: 10.1.1.250
Weight: 8
Interval: 3 segundos
Threshold: 10
siguientes datos y haga clic en Apply.
Monitor Threshold: 8
Track IP Option: Threshold: 8
Weight: 8
> Monitor Track IP ADD: Introduzca los siguientes datos y haga clic en
Add:
Track IP: 1.1.1.250
Weight: 8
Interval: 3 segundos
Threshold: 10
2.
73
3.
Rutas
Interface: ethernet1
Metric: 10
Metric: 12
Metric: 10
Metric: 12
CLI
1.
IP Tracking (Seguimiento de IP)
set interface ethernet1 track-ip ip 10.1.1.250 weight 8

set interface ethernet1 track-ip threshold 8
set interface ethernet1 track-ip weight 8
set interface ethernet1 track-ip
set interface ethernet3 track-ip ip 1.1.1.250 weight 8
set interface ethernet3 track-ip threshold 8
set interface ethernet3 track-ip weight 8
set interface ethernet3 track-ip
2.
set
set
set
set
74
interface ethernet1 monitor interface ethernet3 weight 8

interface ethernet1 monitor threshold 8 action down physically
interface ethernet3 monitor interface ethernet1 weight 8
interface ethernet3 monitor threshold 8 action down physically
3.
Rutas
set vrouter trust-vr route 10.1.0.0/16 interface ethernet1 gateway 10.1.1.250

metric 10
metric 12
set vrouter trust-vr route 0.0.0.0/0 interface ethernet3 gateway 1.1.1.250 metric
10
set vrouter trust-vr route 0.0.0.0/0 interface ethernet4 gateway 1.1.2.250 metric
12
save
Supervisin de zonas de seguridad

Adems de supervisar interfaces individuales, una interfaz puede supervisar todas
las interfaces de una zona de seguridad (cualquier zona de seguridad salvo la suya
propia). Para que falle toda una zona de seguridad, debe fallar cada una de las
interfaces asociadas a esa zona. Mientras permanezca activa una sola interfaz
asociada a una zona supervisada, el dispositivo de seguridad considerar que toda
la zona est activa.
Para configurar una interfaz de modo que supervise una zona de seguridad, ejecute
cualquiera de los siguientes procedimientos:
WebUI
Network > Interfaces > Edit (para la interfaz que desee supervisar) > Monitor
> Edit Zone: Introduzca los siguientes datos y haga clic en Apply:
Zone Name: Seleccione la zona que desee que sea supervisada.
Weight: Indique un peso entre 1 y 255.
CLI
set interface interface monitor zone zone [ weight number ]
Si no indica un peso, el dispositivo de seguridad aplica el valor predeterminado,

255
Interfaces inactivas y flujo de trfico

La configuracin del seguimiento de IP en una interfaz permite al dispositivo de
seguridad redireccionar el trfico saliente a travs de una interfaz distinta cuando
determinadas direcciones IP dejan de ser accesibles a travs de la primera interfaz.
Sin embargo, aunque es posible que el dispositivo de seguridad desactive las rutas
asociadas a una interfaz debido a un fallo de seguimiento de IP, la interfaz puede
continuar fsicamente activa y seguir enviando y recibiendo trfico. Por ejemplo, el
dispositivo de seguridad sigue procesando el trfico entrante de una sesin
existente que puede llegar a la interfaz original en la que se haya producido el fallo
de seguimiento de IP. Asimismo, el dispositivo de seguridad contina utilizando la
interfaz para enviar peticiones de comando ping a las direcciones IP de destino
para determinar si los destinos son accesibles de nuevo. En estos casos, el trfico
sigue atravesando una interfaz en la que ha fallado el seguimiento de IP y para la
que el dispositivo de seguridad ha desactivado las rutas.
75
El modo en el que el dispositivo de seguridad gestiona el trfico de sesin en dicha

interfaz depende de los siguientes factores:
Si la interfaz en la que se configura el seguimiento de IP acta como interfaz de

salida para una sesin, es posible que las respuestas de la sesin sigan llegando
a la interfaz y que el dispositivo de seguridad contine procesndolas.
Si la interfaz en la que se configura el seguimiento de IP acta como interfaz de

entrada para una sesin, la aplicacin del comando set arp always-on-dest
hace que el dispositivo de seguridad redirija las respuestas de la sesin a otra
interfaz. Si no activa este comando, el dispositivo de seguridad reenviar las
respuestas de la sesin a travs de la interfaz en la que ha fallado el
seguimiento de IP aunque el dispositivo de seguridad haya desactivado las rutas
que utilizan dicha interfaz. (De forma predeterminada, este comando est
desactivado).
De forma predeterminada, un dispositivo de seguridad guarda en cach la
direccin MAC del iniciador de una sesin cuando recibe el paquete inicial de
una sesin nueva. Si introduce el comando CLI set arp always-on-dest, el
dispositivo de seguridad no guardar en cach la direccin MAC del iniciador de
una sesin. En su lugar, el dispositivo de seguridad realizar una consulta ARP
cuando procese la respuesta correspondiente a dicho paquete inicial. Si la
direccin MAC del iniciador se encuentra en la tabla ARP, el dispositivo de
seguridad la utilizar. Si la direccin MAC no se encuentra en la tabla ARP, el
dispositivo de seguridad enva una peticin ARP para la direccin MAC de
destino y agrega la direccin MAC recibida a su tabla ARP. El dispositivo de
seguridad realiza otra consulta ARP cada vez que se produce un cambio de ruta.
En Fallo en la interfaz de salida se describen los diversos contextos en los que

falla el seguimiento de IP en la interfaz de salida y en la interfaz de entrada; y, en el
caso de la ltima, qu ocurre cuando se utiliza el comando set arp always-on-dest.
NOTA:
En Fallo en la interfaz de salida se describe cmo el seguimiento de IP dispara

los cambios de rutas y cmo pueden afectar estos cambios al flujo de paquetes de
todos los dispositivos de seguridad de Juniper Networks distintos a NetScreen-5XT
y NetScreen-5GT. En el caso de estos dispositivos, un fallo de seguimiento de IP
dispara una conmutacin por error de interfaz. Para obtener ms informacin,
consulte Interfaces Dual Untrust en la pgina 11-50.
Fallo en la interfaz de salida

En el siguiente contexto, vamos a configurar el seguimiento de IP en ethernet2, que
es la interfaz de salida para las sesiones del host A al host B. El host A inicia la
sesin enviando un paquete al host B, tal como se indica a continuacin en la
Figura 42.
NOTA:
76
Primero hay que crear dos rutas que conduzcan al host B y ambas interfaces de
salida deben encontrarse en la misma zona para que se aplique la misma directiva
al trfico antes y despus del redireccionamiento.
Figura 42: Seguimiento de IP del host A y del host B

Flujo de trfico del host A al host B: peticin (inicio de sesin)
Primera interfaz de salida
ethernet2
1.1.1.1/24
Interfaz de entrada
ethernet1
10.1.1.1/24
Seguimiento de IP
activado desde ethernet2
2
Bsqueda
de sesin
Zona Trust
10.1.1.1/24
10.1.1.0/24
Bsqueda
de rutas
Zona Untrust
Bsqueda de
directivas
Host B
2.2.2.2
4
1
Host A
10.1.1.5
Respondedor
Iniciador
Segunda interfaz de salida
ethernet3
1.1.2.1/24
Puertas de enlace:
1.1.1.254
1.1.2.254
Cuando el host B responde al host A, el trfico de retorno sigue una ruta de regreso
similar a travs del dispositivo de seguridad, como se indica en la Figura 43.
Figura 43: Flujo de trfico de salida del host B al host A
Flujo de trfico del host A al host B: respuesta
Interfaz de entrada
ethernet1
10.1.1.1/24

ethernet2
1.1.1.1/24
3
Actualiz
acin de
Zona Trust
10.1.1.1/24
10.1.1.0/24
Seguimiento de IP desde
ethernet2 correcto
Zona Untrust
2
1
Host B
2.2.2.2
4
Host A
10.1.1.5
Respondedor
Iniciador
ethernet3
1.1.2.1/24
Puertas de enlace:
1.1.1.254
1.1.2.254
Si falla el seguimiento de IP en ethernet2, el dispositivo de seguridad desactiva las

rutas que utilicen ethernet2 y utiliza ethernet3 para el trfico saliente destinado al
host B. Sin embargo, las respuestas del host B al host A pueden llegar tanto a travs
de ethernet2 como a travs de ethernet3 y el dispositivo de seguridad las reenva a
travs de ethernet1 al host A. Consulte la Figura 44.
77
Figura 44: Fallo del seguimiento de IP de salida

Flujo de trfico del host B al host A: el fallo de seguimiento de IP dispara el redireccionamiento
Interfaz de entrada
ethernet2
ethernet1
1.1.1.1/24
10.1.1.1/24
1
Zona Trust
Cambio
de ruta
10.1.1.1/24
10.1.1.0/24
ethernet2 incorrecto
Zona Untrust
Actualizacin
de sesin
Host B
2.2.2.2
2
Host A
10.1.1.5
Respondedor
Iniciador
ethernet3
1.1.2.1/24
Puertas de
enlace:
1.1.1.254
1.1.2.254
Fallo en la interfaz de entrada

En el siguiente contexto, configurar de nuevo el seguimiento de IP en ethernet2,
pero esta vez ethernet2 ser la interfaz de entrada en el dispositivo de seguridad
para las sesiones del host B al host A. El host B iniciar la sesin enviando un
paquete al host A, tal como se indica en la Figura 45.
Figura 45: Flujo de trfico de entrada del host B al host A
Flujo de trfico del host B al host A: peticin (inicio de sesin)
Interfaz de entrada
ethernet1
10.1.1.1/24

ethernet2
1.1.1.1/24
Seguimiento de IP activado
desde ethernet2
2
Bsqueda de
directivas
Zona Trust
Bsqueda
de rutas
Bsqueda
de sesin
Zona Untrust
10.1.1.1/24
10.1.1.0/24
1
3
Host A
10.1.1.5
Respondedor

ethernet3
1.1.2.1/24
78
Host B
2.2.2.2
Iniciador
Puertas de enlace:
1.1.1.254
1.1.2.254
Cuando el host A responde al host B, el trfico de retorno sigue una ruta de regreso
similar a travs del dispositivo de seguridad, como se indica en la Figura 46.
Figura 46: Flujo de trfico de entrada del host A al host B
Flujo de trfico del host B al host A: respuesta
Interfaz de entrada
ethernet1
10.1.1.1/24

ethernet2
1.1.1.1/24
Zona Untrust
Bsqueda
de sesin
Zona Trust
ethernet2 correcto
10.1.1.1/24
10.1.1.0/24
Host B
2.2.2.2
4
1
Host A
10.1.1.5
Iniciador
Respondedor
ethernet3
1.1.2.1/24
Puertas de enlace:
1.1.1.254
1.1.2.254
1. El host A en 10.1.1.5 enva un paquete de respuesta a ethernet1 en 10.1.1.1 destinado al host B (2.2.2.2).
2. El dispositivo de seguridad realiza una bsqueda de sesin. Como se trata de una respuesta, el dispositivo la relaciona con una
sesin existente y actualiza
la entrada en la tabla de la sesin.
3. Utilizando la direccin MAC de la puerta de enlace en 1.1.1.254 guardada en cach o realizando una bsqueda ARP para averiguar
la direccin MAC, el dispositivo
Si falla el seguimiento de IP en ethernet2, el dispositivo de seguridad desactiva las

rutas que utilicen ethernet2 y utiliza ethernet3 para el trfico saliente destinado al
host B. Sin embargo, las peticiones del host B al host A todava pueden llegar tanto
a travs de ethernet2 y el dispositivo de seguridad las reenva a travs de ethernet1
al host A. El flujo de datos para las peticiones del host B al host A sigue teniendo el
mismo aspecto despus de que se produzca un fallo de seguimiento de IP. Sin
embargo, las respuestas del host A pueden tomar una de dos rutas distintas, en
funcin de la aplicacin del comando set arp always-on-dest.
Si activa el comando set arp always-on-dest, el dispositivo de seguridad enviar
una peticin ARP para la direccin MAC de destino cuando procese la respuesta al
primer paquete de una sesin o cuando se produzca un cambio de ruta. (Cuando
este comando est desactivado, el dispositivo de seguridad guarda el cach la
direccin MAC del iniciador de la sesin y la utiliza para procesar las respuestas. De
forma predeterminada, este comando est desactivado).
Cuando falla el seguimiento de IP en ethernet2, el dispositivo de seguridad
desactiva primero todas las rutas que utilicen ethernet2 y realiza una bsqueda de
rutas. Encuentra otra ruta para acceder al host B a travs de ethernet3 y la puerta de
enlace en 1.1.2.254. A continuacin, analiza la tabla de sesiones y redirige todas las
sesiones a la nueva ruta. Si est activado el comando set arp always-on-dest, el
dispositivo de seguridad realizar una bsqueda ARP cuando reciba el siguiente
paquete del host A porque el paquete pertenece a una sesin afectada por el
79
cambio de ruta. Independientemente de la interfaz de entrada a la que lleguen los

paquetes del host B, el dispositivo de seguridad enva todas las respuestas
posteriores del host A a travs de ethernet3 a la puerta de enlace en 1.1.2.254.
Consulte la Figura 47.
Figura 47: Fallo de seguimiento de IP de entrada con redireccionamiento de trfico
Flujo de trfico del host B al host A: el fallo de seguimiento de IP dispara el
redireccionamiento
ethernet2
1.1.1.1/24
Interfaz de entrada
ethernet1
10.1.1.1/24
1
Zona Trust
Cambio Actualizacin
de ruta de sesin
Zona Untrust
10.1.1.1/24
10.1.1.0/24
Host A
10.1.1.5
Host B
2.2.2.2
3
Iniciador
Puertas de enlace:
1.1.1.254
1.1.2.254
ethernet3
1.1.2.1/24
Respondedor
Si est activado el comando unset arp always-on-dest (que es la configuracin

predeterminada), el dispositivo de seguridad utiliza la direccin MAC para la puerta
de enlace en 1.1.1.1 que guard en cach cuando el host B envi el paquete de
sesin inicial. El dispositivo de seguridad contina enviando las respuestas de
sesin a travs de ethernet2. En este caso, el fallo de seguimiento de IP no afecta al
flujo de datos a travs del dispositivo de seguridad.
Figura 48: Fallo de seguimiento de IP de entrada sin redireccionamiento
Flujo de trfico del host B al host A: el fallo de seguimiento de IP no dispara el
redireccionamiento
ethernet2
1.1.1.1/24
Interfaz de entrada
ethernet1
10.1.1.1/24
2
Zona Trust
Bsqueda
de sesin
10.1.1.1/24
10.1.1.0/24
Zona Untrust
Host B
2.2.2.2
1
Host A
10.1.1.5
Iniciador
Respondedor
ethernet3
1.1.2.1/24
80
Puertas de enlace:
1.1.1.254
1.1.2.254
Captulo 4
Modos de las interfaces

Las interfaces pueden funcionar en tres modos diferentes: Traduccin de
direcciones de red (NAT), modo de ruta (Route) y modo transparente
(Transparent). Si una interfaz asociada a una zona de capa 3 (Layer 3) tiene una
direccin IP, el modo de funcionamiento de esa interfaz se puede definir como NAT
o Route. Una interfaz asociada a una zona de capa 2 (Layer 2) (como las zonas
predefinidas v1-trust, v1-untrust y v1-dmz, o una zona de capa 2 definida por el
usuario) debe estar en modo Transparent. El modo de funcionamiento se selecciona
al configurar la interfaz.
NOTA:
Aunque se puede definir el modo de funcionamiento de una interfaz asociada a

cualquier zona de capa 3 como NAT, el dispositivo de seguridad solamente
aplicar NAT al trfico que pase por esa interfaz en direccin hacia la zona
Untrust. ScreenOS no aplica NAT al trfico destinado a ninguna zona que no sea la
zona Untrust. Asimismo, observe que aunque ScreenOS permite poner una
interfaz de la zona Untrust en modo NAT, esto no activa ninguna operacin de
NAT.
Este captulo contiene las siguientes secciones:
Modo transparente en la pgina 82
Ajustes de zona en la pgina 83
Reenvo de trfico en la pgina 83
Opciones unicast desconocidas en la pgina 84
Modo NAT en la pgina 94
Trfico NAT entrante y saliente en la pgina 96
Ajustes de interfaz en la pgina 97
Modo de ruta en la pgina 100
Ajustes de interfaz en la pgina 101
81
Modo transparente
Cuando una interfaz est en modo transparente, el dispositivo de seguridad filtra
los paquetes que atraviesan la pared de fuego sin modificar ninguna informacin de
origen ni de destino en el encabezado de los paquetes IP. Todas las interfaces se
comportan como si fuesen parte de la misma red, con el dispositivo de seguridad
actuando en gran medida como conmutador o puente de capa 2 (Layer 2). En el
modo transparente, las direcciones IP de las interfaces se establecen en 0.0.0.0,
haciendo que el dispositivo de seguridad parezca transparente (o invisible) a los
usuarios. Consulte Figura 49.
Figura 49: Modo transparente
209.122.30.3
209.122.30.2
209.122.30.2
209.122.30.4
209.122.30.1
209.122.30.5
Zona Trust
Conmutador
Espacio de
direcciones
pblico
Zona Untrust
Enrutador externo
A Internet
El modo transparente es un medio muy prctico para proteger servidores web o

cualquier otra clase de servidor que reciba principalmente trfico de fuentes no
fiables. Utilizar el modo transparente tiene las siguientes ventajas:
82
Modo transparente
Elimina la necesidad de reconfigurar los ajustes IP de los enrutadores y

servidores protegidos.
Elimina la necesidad de crear direcciones IP asignadas o virtuales para que el

trfico entrante llegue a los servidores protegidos.
Captulo 4: Modos de las interfaces
Ajustes de zona
De forma predeterminada, ScreenOS crea una zona de funcin, la zona VLAN, y
tres zonas de seguridad L2: V1-Trust, V1-Untrust y V1-DMZ.
Zona VLAN
La zona VLAN contiene la interfaz VLAN1, que tiene la misma configuracin y las
mismas posibilidades de administracin que una interfaz fsica. Cuando el
dispositivo de seguridad est en modo transparente, utiliza la interfaz VLAN1 para
administrar el dispositivo y terminar el trfico VPN. Puede configurar la interfaz
VLAN1 para permitir que los hosts en las zonas de seguridad L2 puedan administrar
el dispositivo. Para ello, debe establecer la direccin IP de la interfaz VLAN1 en la
misma subred que los hosts de las zonas de seguridad L2.
Para el trfico administrativo, la IP de administracin de VLAN1 tiene preferencia
sobre la IP de la interfaz VLAN1. Puede reservar la IP de administracin de VLAN1
para el trfico administrativo y dedicar la IP de la interfaz VLAN1 solamente a la
terminacin del tnel VPN.
Zonas de capa 2 predefinidas

ScreenOS proporciona tres zonas de seguridad L2 predeterminadas: V1-Trust,
V1-Untrust y V1-DMZ. Estas tres zonas comparten el mismo dominio L2. Cuando se
configura una interfaz en una de las zonas, se agrega al dominio L2 compartido por
todas las interfaces en todas las zonas L2. Para poder comunicarse, todos los hosts
en las zonas L2 deben pertenecer a la misma subred.
De acuerdo con lo descrito en la seccin anterior, cuando el dispositivo est en
modo transparente se utiliza la interfaz VLAN1 para administrar el dispositivo. Para
que el trfico administrativo pueda alcanzar la interfaz VLAN1, es necesario
habilitar las opciones de administracin en la interfaz VLAN1 y en la(s) zona(s) que
atravesar dicho trfico. De forma predeterminada, todas las opciones de
administracin estn habilitadas en la zona V1-Trust. Para que los hosts de otras
zonas puedan administrar el dispositivo, debe establecer esas mismas opciones en
las zonas a las que pertenezcan.
NOTA:
Para ver qu interfaces fsicas estn preasociadas a las zonas L2 de cada

plataforma de seguridad de Juniper Networks, consulte el manual del instalador de
cada plataforma.
Reenvo de trfico
Un dispositivo de seguridad que operan en la capa 2 (Layer 2 o L2) no permiten
ningn trfico interzonal ni intrazonal a menos que haya una directiva configurada
en el dispositivo. Para obtener ms informacin sobre cmo establecer directivas,
consulte Directivas en la pgina 2-163. Una vez configurada una directiva en el
dispositivo de seguridad, hace lo siguiente:
Permite o deniega el trfico especificado en la directiva.
Permite el trfico ARP y L2 no IP multicast (de un emisor a mltiples

destinatarios) y broadcast (de mltiples emisores a mltiples destinatarios).
Desde ese momento, el dispositivo de seguridad puede recibir y transmitir
trfico broadcast L2 para el protocolo en rbol.
Modo transparente 83
Contina bloqueando todo el trfico unicast no IP y no ARP, as como el

trfico IPSec.
El comportamiento de reenvo del dispositivo se puede modificar de la siguiente

forma:
Para bloquear todo el trfico L2 no IP y no ARP, incluyendo el trfico

multicast y broadcast, ejecute el comando unset interface vlan1
bypass-non-ip-all.
Para permitir que todo el trfico L2 no IP pueda pasar por el dispositivo, ejecute
el comando set interface vlan1 bypass-non-ip .
Para restablecer el comportamiento predeterminado del dispositivo,

consistente en bloquear todo el trfico unicast no IP y no ARP, ejecute el
comando unset interface vlan1-bypass-non-ip.
Observe que el comando unset interface vlan1 bypass-non-ip-all siempre
sobrescribe al comando unset interface vlan1 bypass-non-ip cuando ambos
se encuentran en el archivo de configuracin. Por lo tanto, si anteriormente
ejecut el comando unset interface vlan1 bypass-non-ip-all y ahora desea
que el dispositivo recupere su comportamiento predeterminado, que consiste
en bloquear nicamente el trfico unicast no IP y no ARP, deber ejecutar
primero el comando set interface vlan1 bypass-non-ip para permitir que todo
el trfico no IP y no ARP, incluyendo el trfico multicast, unicast y
broadcast pase por el dispositivo. A continuacin, deber ejecutar el
comando unset interface vlan1 bypass-non-ip para bloquear nicamente el
trfico unicast no IP y no ARP.
NOTA:
Para permitir que un dispositivo de seguridad transmita trfico IPSec sin

intentar terminarlo, utilice el comando set interface vlan1
bypass-others-ipsec. El dispositivo de seguridad permitir entonces que el
trfico IPSec pase a travs de otros puntos terminales de la VPN.
Un dispositivo de seguridad con interfaces en modo transparente requiere rutas

para dos fines: dirigir el trfico autogenerado, como las capturas SNMP, y reenviar
trfico VPN despus de encapsularlo o desencapsularlo.
Opciones unicast desconocidas

Cuando un host o cualquier clase de dispositivo de red desconoce la direccin MAC
asociada a la direccin IP de otro dispositivo, utiliza el protocolo de resolucin de
direcciones (Address Resolution Protocol o ARP) para obtenerla. El solicitante
difunde mediante broadcast una consulta ARP (arp-q) al resto de dispositivos de
la misma subred. La consulta arp-q solicita al dispositivo con la direccin IP de
destino especificada que devuelva una respuesta ARP (arp-r), lo que proporcionar
al solicitante la direccin MAC del dispositivo que responde. Cuando los dems
dispositivos de la subred reciben la consulta arp-q, comprueban la direccin IP de
destino y, al no ser la suya, descartan el paquete. Slo el dispositivo que tenga la
direccin IP especificada devolver un mensaje arp-r. Cuando un dispositivo ha
establecido una correspondencia entre una direccin IP y una direccin MAC,
almacena la informacin en su cache de ARP.
84
Modo transparente
A medida que el trfico ARP atraviesa un dispositivo de seguridad en modo

transparente, el dispositivo analiza la direccin MAC de origen en cada paquete y
memoriza qu interfaz conduce a esa direccin MAC. De hecho, el dispositivo de
seguridad aprende qu interfaz conduce a qu direccin MAC observando las
direcciones MAC de origen en todos los paquetes que recibe. A continuacin,
almacena esta informacin en su tabla de reenvos.
NOTA:
Un dispositivo de seguridad en modo transparente no permite ningn trfico

entre zonas a menos que haya una directiva configurada en el dispositivo. Para
obtener ms informacin sobre cmo el dispositivo reenva trfico cuando est en
modo transparente, consulte Reenvo de trfico en la pgina 83.
Puede ocurrir que un dispositivo enve un paquete unicast con una direccin MAC
de destino tomada de su cache ARP, pero que el dispositivo de seguridad no tenga
registrada en su tabla de reenvos. Por ejemplo, el dispositivo de seguridad borra su
tabla de reenvos cada vez que se reinicia. (Tambin el usuario podra haber
borrado la tabla de reenvos con el comando CLI clear arp.) Cuando un dispositivo
de seguridad en modo transparente recibe un paquete unicast para el cual no
contiene ninguna entrada en su tabla de reenvos, puede tomar una de estas dos
decisiones:
NOTA:
Despus de realizar una consulta de directivas para determinar a qu zonas

est permitido enviar el trfico procedente de la direccin de origen, inundar el
paquete inicial saliendo por las interfaces asociadas a esas zonas y seguir
utilizando la interfaz que reciba una respuesta. Se trata de la opcin Flood,
que est habilitada de forma predeterminada.
Descartar el paquete inicial, inundar con consultas ARP (y, opcionalmente,

paquetes trace-route, que son peticiones de eco ICMP con el valor time-to-live
en 1) saliendo por todas las interfaces (excepto por la interfaz por la que entr
el paquete) y enviar los paquetes subsiguientes por cualquier interfaz que
reciba una respuesta ARP (o trace-route) del enrutador o del host cuya direccin
MAC coincida con la direccin MAC de destino en el paquete inicial. La opcin
trace-route permite al dispositivo de seguridad descubrir la direccin MAC de
destino cuando sta se encuentre en una subred no adyacente.
De los dos mtodos (flood y ARP/trace-route), ARP es ms seguro porque el

dispositivo de seguridad inunda con preguntas ARP y paquetes trace-route (no el
paquete inicial) saliendo por todas las interfaces.
Mtodo de inundacin
El mtodo de inundacin reenva paquetes del mismo modo que la mayora de
conmutadores (switches) de la capa 2. Un conmutador mantiene una tabla de
reenvos que contiene direcciones MAC y sus puertos asociados para cada dominio
de capa 2. La tabla tambin contiene la interfaz correspondiente a travs de la cual
el conmutador puede reenviar trfico a cada dispositivo. Cada vez que un paquete
llega con una nueva direccin MAC de origen en su encabezado de trama, el
conmutador agrega la direccin MAC a su tabla de reenvos. Tambin detecta a
travs de qu interfaz lleg el paquete. Si la direccin MAC de destino es
desconocida para el conmutador, ste duplica el paquete y lo inunda saliendo por
todas las interfaces (a excepcin de la interfaz por la que lleg el paquete).

Memoriza la direccin MAC (desconocida hasta ese momento) y la interfaz
correspondiente cuando recibe una respuesta con esa direccin MAC en una de sus
interfaces.
Cuando se habilita el mtodo de inundacin y el dispositivo de seguridad recibe una
trama de Ethernet con una direccin MAC de destino que no figura en la tabla de
direcciones MAC del dispositivo de seguridad, inunda el paquete saliendo por todas
las interfaces.
Figura 50: Mtodo de inundacin
ethernet1
IP 0.0.0.0/0
ethernet4
IP 0.0.0.0/0
El paquete llega a
ethernet1.
Enrutador
Zona V1-Trust
V1-DMZ
Zona
Espacio de direcciones comn

ethernet2
IP 0.0.0.0/0
L2-Finance
Zona
ethernet3
IP 0.0.0.0/0
Zona V1-Untrust
Enrutador
Enrutador
El dispositivo de seguridad inunda el paquete saliendo por ethernet2, sin embargo
no recibe ninguna respuesta.
Se encontr Untrust
Para habilitar el mtodo de inundacin para el tratamiento de paquetes unicast

desconocidos, ejecute cualquiera de los siguientes procedimientos:
WebUI
Network > Interface > Edit (para VLAN1): Para las opciones de broadcast,
seleccione Flood, despus haga clic en OK.
CLI
set interface vlan1 broadcast flood
save
Mtodo ARP/Trace-Route
Cuando se habilita el mtodo ARP con la opcin trace-route y el dispositivo de
seguridad recibe una trama de Ethernet con una direccin MAC de destino que no
consta en su tabla de MAC, el dispositivo de seguridad realiza la siguiente serie de
acciones:
86
Modo transparente
NOTA:
Cuando se habilita el mtodo ARP, la opcin trace-route se habilita de forma

predeterminada. Tambin puede habilitar el mtodo ARP sin la opcin
trace-route. Sin embargo, este mtodo solamente permite al dispositivo de
seguridad descubrir la direccin MAC de destino para un paquete unicast si dicha
direccin se encuentra en la misma subred que la direccin IP de entrada. (Para
obtener ms informacin sobre la direccin IP de entrada, consulte la nota de la
pgina siguiente).
1. El dispositivo de seguridad detecta la direccin MAC de destino en el paquete
inicial (y, si an no est, agrega la direccin MAC de origen y su interfaz
correspondiente a la tabla de reenvos).
2. El dispositivo de seguridad descarta el paquete inicial.
3. El dispositivo de seguridad genera dos paquetes: la consulta ARP (arp-q) y un
trace-route (una peticin de eco ICMP o PING) con un valor 1 en el campo
time-to-live (TTL), e inunda esos paquetes saliendo por todas las interfaces
excepto por la que lleg el paquete inicial. Para los paquetes arp-q y las
peticiones de eco ICMP, el dispositivo de seguridad utiliza las direcciones IP de
origen y de destino del paquete inicial. Para los paquetes arp-q, el dispositivo
de seguridad reemplaza la direccin MAC de origen del paquete inicial con la
direccin MAC para VLAN1, y reemplaza la direccin MAC de destino del
paquete inicial con ffff.ffff.ffff. Para la opcin trace-route, el dispositivo de
seguridad utiliza las direcciones MAC de origen y de destino del paquete inicial
en las peticiones de eco ICMP que difunde mediante broadcasts.
Si la direccin IP de destino pertenece a un dispositivo en la misma subred que
la direccin IP de entrada, el host devuelve una respuesta ARP (arp-r) con su
direccin MAC, indicando as la interfaz a travs de la cual el dispositivo de
seguridad debe reenviar el trfico destinado a esa direccin. (Consulte
Figura 51, Mtodo ARP, en la pgina 88).
NOTA:
La direccin IP de entrada hace referencia a la direccin IP del ltimo dispositivo

que envi el paquete al dispositivo de seguridad. Este dispositivo puede ser el
origen que envi el paquete o un enrutador que lo reenvi.
Si la direccin IP de destino pertenece a un dispositivo en una subred situada
ms all de la subred de la direccin IP de entrada, trace-route devuelve las
direcciones IP y MAC del enrutador que conduce al destino y, an ms
importante, indica la interfaz a travs de la cual el dispositivo de seguridad
debe reenviar el trfico destinado a esa direccin MAC. (Consulte Figura 52,
Trace-Route, en la pgina 89).
NOTA:
De hecho, trace-route devuelve las direcciones IP y MAC de todos los enrutadores

en la subred. A continuacin, el dispositivo de seguridad compara la direccin
MAC de destino del paquete inicial con la direccin MAC de origen en los paquetes
arp-r para determinar a qu enrutador apuntar, y por lo tanto, qu interfaz utilizar
para alcanzar ese destino.
4. Combinando la direccin MAC de destino obtenida del paquete inicial con la

interfaz que conduce a esa direccin MAC, el dispositivo de seguridad agrega
una nueva entrada a su tabla de reenvos.
5. El dispositivo de seguridad reenva a su destino a travs de la interfaz correcta
todos los paquetes que reciba posteriormente.
Para habilitar el mtodo ARP/trace-route para tratar los paquetes unicast
desconocidos, ejecute cualquiera de los siguientes procedimientos:
WebUI
Network > Interface > Edit (para VLAN1): Para las opciones de broadcast,
seleccione ARP, despus haga clic en OK.
CLI
set interface vlan1 broadcast arp
save
NOTA: De forma predeterminada, la opcin trace-route est habilitada. Si desea utilizar ARP
sin la opcin trace-route, introduzca el comando siguiente: unset interface vlan1

broadcast arp trace-route. Este comando desactiva la opcin trace-route, pero no ARP
como mtodo seleccionado para tratar los paquetes de unidifusin desconocidos.
La Figura 51 muestra cmo el mtodo ARP puede localizar la direccin MAC de
destino cuando la direccin IP de destino se encuentra en una subred adyacente.
Figura 51: Mtodo ARP
Nota:A continuacin solamente se muestran los
elementos relevantes del encabezado del paquete y
los ltimos cuatro dgitos en las direcciones MAC.
Si el paquete siguiente:
Datagrama IP
Trama Ethernet
dst
src
type
11bb
11aa
0800 210.1.1.5 210.1.1.75
src
src
ffff
39ce 0806 210.1.1.5 210.1.1.75
type src
src
Mensaje ARM
type src
Podr asociar la direccin MAC a la interfaz que

conduce hacia ella.
Modo transparente
ethernet4
0.0.0.0/0
0010.db15.39ce
Enrutador A
210.1.1.100
00cc.11cc.11cc
V1-DMZ
Zona
Enrutador
Comn
Direccin
Espacio
ethernet2
0.0.0.0/0
0010.db15.39ce
Zona
L2-Finance
ethernet3
0.0.0.0/0
0010.db15.39ce
Zona
V1-Untrust
dst
39ce 11bb 0806 210.1.1.75 210.1.1.5
88
Zona V1-Trust
dst
Cuando el dispositivo recibe el siguiente arp-r

a ethernet2:
dst
ethernet1
0.0.0.0/0
0010.db15.39ce
Mensaje ARM
dst
Trama Ethernet
PC A
210.1.1.5
00aa.11aa.11aa
dst
llega a ethernet1 y la tabla de reenvos no tiene

una entrada para la direccin MAC
00bb.11bb.11bb, el dispositivo de seguridad
inunda el siguiente paquete arp-q:
Trama Ethernet
VLAN1
210.1.1.1/24
0010.db15.39ce
PC B encontrado
PC B
210.1.1.75
00bb.11bb.11bb
Enrutador B
210.1.1.200
00dd.11dd.11dd
La Figura 52 muestra cmo la opcin trace-route puede localizar la direccin MAC

de destino cuando la direccin IP de destino se encuentra en una subred no
adyacente.
Figura 52: Trace-Route
VLAN1
210.1.1.1/24
0010.db15.39ce
Nota:A continuacin solamente se muestran los

elementos relevantes del encabezado del paquete y
los ltimos cuatro dgitos en las direcciones MAC.
PC A
210.1.1.5
00aa.11aa.11aa
Si el paquete siguiente:
Trama Ethernet
Datagrama IP
dst
src
type
src
dst
11dd
11aa
0800
210.1.1.5
195.1.1.5
dst
src
type
11dd 11aa 0800
dst
210.1.1.5
195.1.1.5
Comn
Direccin
Espacio
dst
src
type
11aa 11dd 0800
ethernet3
0.0.0.0/0
0010.db15.39ce
Zona
V1-Untrust
Zona
L2-Finance
Mensaje ICMP
src
ethernet2
0.0.0.0/0
0010.db15.39ce
TTL
Cuando el dispositivo recibe la siguiente

respuesta en ethernet3:
Trama Ethernet
dst
msg
210.1.1.200 210.1.1.5
Enrutador A
210.1.1.100
00cc.11cc.11cc
Zona V1-Trust
Mensaje ICMP
src
ethernet4
0.0.0.0/0
0010.db15.39ce
V1-DMZ
Zona
llega a ethernet1 y la tabla de reenvos no tiene una

entrada para la direccin MAC 00dd.11dd.11dd, el
dispositivo de seguridad inunda el siguiente paquete
trace-route saliendo de ethernet2, 3 y 4:
Trama Ethernet
ethernet1
0.0.0.0/0
0010.db15.39ce
PC B
210.1.1.75
00bb.11bb.11bb
Enrutador B
210.1.1.200
00dd.11dd.11dd
Tiempo
excedido
Se encontr
Untrust
Servidor C
195.1.1.5
00dd.22dd.22dd
Ahora se puede asociar la direccin MAC

con la interfaz que conduce hacia ella.
Configuracin de la interfaz VLAN1 para administracin

En este ejemplo configurar el dispositivo de seguridad para la administracin a su
interfaz VLAN1 como se presenta a continuacin:
NOTA:
Asignar a la interfaz VLAN1 la direccin IP 1.1.1.1/24.
Habilitar Web, Telnet, SSH y Ping tanto en la interfaz VLAN1 como en la zona
de seguridad V1-Trust.
De forma predeterminada, ScreenOS habilita las opciones de administracin para la

interfaz VLAN1 y la zona de seguridad V1-Trust. En este ejemplo se muestran estas
opciones habilitadas slo con fines ilustrativos. A menos que las haya inhabilitado
previamente, realmente no es necesario habilitarlas manualmente.
Para administrar el dispositivo desde una zona de seguridad de capa 2 (Layer 2), debe
establecer las mismas opciones de administracin para la interfaz VLAN1 que para la zona
de seguridad de capa 2.
Agregar una ruta en el enrutador virtual trust (todas las zonas de seguridad de
capa 2 estn en el dominio de enrutamiento trust-vr) para permitir que el
trfico administrativo fluya entre el dispositivo de seguridad y una estacin de
trabajo administrativa situada ms all de la subred inmediata del dispositivo
de seguridad. Todas las zonas de seguridad se encuentran en el dominio de
enrutamiento trust-vr.
Figura 53: VLAN transparente

1.1.2.0/24
Subred
Internal Router
1.1.1.251
1.1.2.250
1.1.1.0/24
Subred
Enrutador externo
1.1.1.250
Internet
IP de VLAN1
1.1.1.1/24
Zona V1-Trust
Interfaz V1-Trust
ethernet1
0.0.0.0/0
Estacin de trabajo
admin
1.1.2.5
Zona V1-Untrust
Interfaz V1-Untrust
ethernet3
0.0.0.0/0
WebUI
1.
Interfaz VLAN1
Network > Interfaces > Edit (para VLAN1): Introduzca los siguientes datos y
haga clic en OK:
Management Services: WebUI, Telnet, SSH (seleccione)
2.
Zona V1-Trust
Network > Zones > Edit (para V1-Trust): Introduzca los siguientes datos y haga
clic en OK:
Management Services: WebUI, Telnet, SSH
Other Services: Ping
3.
Ruta
Interface: vlan1(trust-vr)
Metric: 1
CLI
1.
Interfaz VLAN1
set interface vlan1 ip 1.1.1.1/24

set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ssh
set interface vlan1 manage ping
90
Modo transparente
2.
Zona V1-Trust
set
set
set
set
3.
zone
zone
zone
zone
v1-trust manage web

v1-trust manage telnet
v1-trust manage ssh
v1-trust manage ping
Ruta
set vrouter trust-vr route 1.1.2.0/24 interface vlan1 gateway 1.1.1.251 metric 1
save
Configuracin del modo transparente

El ejemplo siguiente ilustra una configuracin bsica con una sola LAN protegida
por un dispositivo de seguridad en modo transparente. Las directivas permiten el
trfico saliente para todos los hosts de la zona V1-Trust, servicios SMTP entrantes
para el servidor de correo y servicios entrante FTP-GET para el servidor FTP.
Para aumentar la seguridad del trfico administrativo, cambiar el nmero del
puerto HTTP para la administracin de WebUI de 80 a 5555, y el nmero de puerto
Telnet para la administracin de CLI de 23 a 4646. Utilizar la direccin IP de
VLAN1 (1.1.1.1/24) para administrar el dispositivo de seguridad desde la zona de
seguridad V1-Trust. Definir direcciones para los servidores FTP y de correo.
Tambin configurar una ruta predeterminada al enrutador externo en 1.1.1.250,
para que el dispositivo de seguridad le pueda enviar trfico VPN saliente. (La puerta
de enlace predeterminada en todos los hosts de la zona V1-Trust tambin ser
1.1.1.250).
NOTA:
Para ver un ejemplo de configuracin de un tnel VPN para un dispositivo de

seguridad con las interfaces en modo transparente, consulte VPN en modo
transparente en la pgina 5-152.
Figura 54: Modo transparente bsico

FTP_Server
1.1.1.5
Mail_Server
1.1.1.10
Enrutador externo
1.1.1.250
1.1.1.0/24
Espacio de direcciones
Internet
IP de VLAN1
1.1.1.1/24
Zona V1-Trust
Interfaz V1-Trust
ethernet1
0.0.0.0/0
Zona V1-Untrust
Interfaz V1-Untrust
ethernet3
0.0.0.0/0
WebUI
1.
Interfaz VLAN1
Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes
Management Services: WebUI, Telnet (seleccione)
2.
Puerto HTTP
Configuration > Admin > Management: En el campo HTTP Port, escriba 5555
y despus haga clic en Apply.
NOTA:
El nmero de puerto predeterminado es 80. Se recomienda cambiarlo a cualquier

nmero entre 1024 y 32.767 para evitar cualquier acceso no autorizado a la
configuracin. Cuando se conecte posteriormente para administrar el dispositivo,
introduzca lo siguiente en el campo URL de su explorador: http://1.1.1.1:5555.
3.
Interfaces
haga clic en OK:
Zone Name: V1-Trust
haga clic en OK:
Zone Name: V1-Untrust
4.
Zona V1-Trust
Network > Zones > Edit (para v1-trust): Introduzca los siguientes datos y haga
clic en OK:
Management Services: WebUI, Telnet
Other Services: Ping
5.
Direcciones
en OK:
Nombre de direccin: FTP_Server
Zona: V1-Trust
en OK:
Nombre de direccin: Mail_Server
Zona: V1-Trust
92
Modo transparente
6.
Ruta
Interface: vlan1(trust-vr)
Metric: 1
7.
Directivas
Directivas > (From: V1-Trust, To: V1-Untrust) New: Introduzca los siguientes
Source Address:
Service: Any
Action: Permit
Directivas > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes
Source Address:
Address Book Entry: (seleccione), Mail_Server
Service: Mail
Action: Permit
Directivas > (From: V1-Untrust, To: V1-Trust) New: Introduzca los siguientes
Source Address:
Address Book Entry: (seleccione), FTP_Server
Service: FTP-GET
Action: Permit
CLI
1.
VLAN1
set interface vlan1 ip 1.1.1.1/24

set interface vlan1 manage web
set interface vlan1 manage telnet
set interface vlan1 manage ping
2.
Telnet
set admin telnet port 4646

NOTA:
El nmero de puerto predeterminado para Telnet es 23. Se recomienda cambiarlo

a cualquier nmero entre 1024 y 32.767 para evitar cualquier acceso
no autorizado a la configuracin. Cuando se conecte posteriormente para
administrar el dispositivo a travs de Telnet, introduzca la siguiente direccin:
1.1.1.1 4646.
3.
Interfaces

set interface ethernet1 zone v1-trust
set interface ethernet3 zone v1-untrust
4.
Zona V1-Trust
set zone v1-trust manage web

set zone v1-trust manage telnet
set zone v1-trust manage ping
5.
Direcciones
set address v1-trust FTP_Server 1.1.1.5/32

set address v1-trust Mail_Server 1.1.1.10/32
6.
Ruta
set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 metric 1
7.
Directivas
set policy from v1-trust to v1-untrust any any any permit

set policy from v1-untrust to v1-trust any Mail_Server mail permit
set policy from v1-untrust to v1-trust any FTP_Server ftp-get permit
save
Modo NAT
Cuando una interfaz de entrada est en el modo de traduccin de direcciones de
red (NAT), el dispositivo de seguridad, actuando como conmutador (o enrutador) de
capa 3, traduce dos componentes del encabezado de un paquete IP saliente
destinado a la zona Untrust: su direccin IP de origen y el nmero del puerto de
origen. El dispositivo de seguridad reemplaza la direccin IP de origen del host de
origen con la direccin IP de la interfaz de la zona Untrust. Tambin reemplaza el
nmero del puerto de origen con otro nmero de puerto generado aleatoriamente
por el dispositivo de seguridad.
94
Modo NAT
Figura 55: Topologa de NAT

10.1.1.15
10.1.1.10
10.1.1.20
10.1.1.5
10.1.1.25
Zona Trust
Espacio de
direcciones privado
Espacio de
direcciones pblico
Interfaz de la
zona Trust
10.1.1.1/24
Interfaz de la
zona Untrust
1.1.1.1/24
Enrutador
externo
Zona Untrust
Internet
Cuando el paquete de respuesta llega al dispositivo de seguridad, ste traduce dos

componentes del encabezado IP del paquete entrante: la direccin y el nmero de
puerto del destino, que se traducen inversamente para obtener los nmeros
originales. El dispositivo de seguridad reenva el paquete a su destino.
NAT agrega un nivel de seguridad no disponible con el modo transparente: Las
direcciones de los hosts que envan trfico a travs de una interfaz de entrada en
modo NAT (como una interfaz de la zona Trust) nunca quedan expuestas a los hosts
de la zona de salida (como la zona Untrust), salvo que ambas zonas se encuentren
en el mismo dominio de enrutamiento virtual y el dispositivo de seguridad publique
rutas a interlocutores mediante un protocolo de enrutamiento dinmico (DRP).
Incluso entonces, las direcciones de la zona Trust son solamente accesibles si
alguna directiva les permite recibir trfico entrante. (Si desea mantener ocultas las
direcciones de la zona Trust mientras utilice un DRP, ponga la zona Untrust en
untrust-vr y la zona Trust en trust-vr, y no exporte rutas de direcciones internas de
trust-vr a untrust-vr).
Si el dispositivo de seguridad utiliza el enrutamiento esttico y slo un enrutador
virtual, las direcciones internas siguen ocultas cuando el trfico es saliente, debido a
NAT basada en interfaces. Las directivas que configure controlarn el trfico
entrante. Si solamente utiliza direcciones IP asignadas (MIP) y direcciones IP
virtuales (VIP) como destinos en sus directivas de trfico entrante, las direcciones
internas permanecern ocultas.
Modo NAT
95
Asimismo, NAT preserva el uso de direcciones IP pblicas. En muchos entornos, no

hay recursos disponibles para proporcionar direcciones IP pblicas para todos los
dispositivos en la red. Los servicios NAT permiten que muchas direcciones IP
privadas tengan acceso a los recursos de Internet a travs de una, o de unas pocas,
direcciones IP pblicas. Los siguientes rangos de direcciones IP estn reservados
para redes IP privadas y no deben enrutarse hacia Internet:
10.0.0.0 10.255.255.255
172.16.0.0 172.31.255.255
192.168.0.0 192.168.255.255
Trfico NAT entrante y saliente

Un host en una zona que enve trfico a travs de una interfaz en modo NAT puede
iniciar trfico hacia la zona Untrust (asumiendo que alguna directiva lo permita). En
versiones anteriores a ScreenOS 5.0.0, un host detrs de una interfaz en modo NAT
no poda recibir trfico de la zona Untrust a menos que se configurara para l una
direccin IP asignada (MIP), IP virtual (VIP) o un tnel VPN. Sin embargo, en
ScreenOS 5.0.0, el trfico hacia una zona con una interfaz habilitada para NAT
desde cualquier zona (incluyendo la zona Untrust) no necesita utilizar una MIP, VIP
o VPN. Si desea proteger la privacidad de las direcciones o si est utilizando
direcciones privadas inexistentes en una red pblica como Internet, puede definir
una MIP, VIP o VPN para que el trfico pueda alcanzarlas. Sin embargo, si los
posibles problemas de privacidad y las direcciones IP privadas no son una cuestin
relevante, el trfico procedente de la zona Untrust puede llegar directamente a los
hosts que se encuentren detrs de una interfaz en modo NAT, sin necesidad de
utilizar una MIP, VIP ni VPN.
NOTA:
Slo se puede definir una direccin IP virtual (VIP) en una interfaz asociada a la
zona Untrust.
Figura 56: Flujo de trfico NAT

1. NAT basada en interfaces aplicada al trfico de
la zona Trust a la zona Untrust.
ethernet3
1.1.1.1/24
Modo de ruta
MIP 1.1.1.10 a 10.1.1.10
MIP 1.1.1.20 a 10.1.2.20
Zona Untrust
2. NAT basada en interfaces aplicada al trfico de

la zona definida por el usuario a la zona Untrust.
(Nota: Esto slo es posible si las zonas definida

por el usuario y Untrust se encuentran en
diferentes dominios de enrutamiento virtuales).
3. Sin NAT basada en interfaces aplicada al trfico
entre las zonas Trust y definida por el usuario.
4 y 5. Puede utilizar MIP, VIP o VPN para que el
trfico de la zona Untrust llegue a la zona Trust
o zona definida por el usuario, pero no es
necesario.
NAT
ethernet1
10.1.1.1/24
Modo NAT
Zona Trust
NOTA:
96
Modo NAT
2
NAT
Las MIP son opcionales
4
Sin NAT
Las MIP
6
son
opcionales
ethernet2
10.1.2.1/24
Modo NAT
Zona definida
por el usuario
Para obtener ms informacin sobre MIP, consulte Direcciones IP asignadas en

la pgina 8-65. Para obtener ms informacin sobre VIP, consulte Direcciones IP
virtuales en la pgina 8-83.
Ajustes de interfaz
Para el modo NAT, defina los siguientes ajustes de interfaz, donde dir_ip1 y dir_ip2
representan los nmeros de una direccin IP, mscara representa los nmeros de
una mscara de red, nm_id_vlan representa el nmero de una etiqueta VLAN, zona
representa el nombre de una zona y nmero representa el tamao del ancho de
banda en kbps:
Interfaces de zona
Ajustes
Subinterfaces de zona
Zonas Trust, DMZ y definida

IP: ip_addr1
por el usuario que utilizan NAT Mscara de red: mask
IP de administracin1: ip_addr2
Ancho de banda del trfico2:
number
NAT3: (seleccione)
IP: ip_addr1
Mscara de red: mask
Etiqueta VLAN: nm_id_vlan
Nombre de la zona: zone
NAT: (seleccione)
Untrust4
IP: ip_addr1
Mscara de red: mask
IP: ip_addr1
Mscara de red: mask
IP de administracin*: ip_addr2
Ancho de banda del trfico:
number
1.Puede establecer una direccin IP de administracin en cada interfaz. Su finalidad principal es

proporcionar una direccin IP para el trfico administrativo separada del trfico de red. Tambin
puede utilizar la direccin IP de administracin para tener acceso a un dispositivo especfico
cuando se encuentre en una configuracin de alta disponibilidad.
2.Ajuste opcional para la asignacin de trfico.
3.Al seleccionar NAT, el modo de interfaz se define como NAT. Al seleccionar Route, el modo de la
interfaz es Ruta.
4.Aunque se puede seleccionar NAT como modo de interfaz en una interfaz asociada a la zona
Untrust, el dispositivo de seguridad no realizar ninguna operacin NAT en esa interfaz.
NOTA:
En el modo NAT, es posible administrar un dispositivo de seguridad de cualquier

interfazy de varias interfacesutilizando la direccin IP del sistema, direcciones
IP de la interfaz, direcciones IP de administracin o la direccin IP MGT.
Configuracin del modo NAT

El siguiente ejemplo ilustra una configuracin simple de una LAN con una sola
subred en la zona Trust. La LAN est protegida por un dispositivo de seguridad en
modo NAT. Las directivas permiten el trfico saliente para todos los hosts de la zona
Trust y correo entrante para el servidor de correo. El correo entrante se enruta al
servidor de correo a travs de una direccin IP virtual. Las dos zonas Trust y Untrust
se encuentran en el dominio de enrutamiento trust-vr.
NOTA:
Compare la Figura 57 con el del modo ruta en la Figura 59, Dispositivo en modo
de ruta, en la pgina 102.
Modo NAT
97
Figura 57: Dispositivo en modo NAT

Enrutador externo
1.1.1.250
Internet
Servidor de correo electrnico

VIP 1.1.1.5 ->
10.1.1.5
Zona Trust
ethernet1
10.1.1.1/24
Modo NAT
ethernet3
1.1.1.1/24
Modo de ruta
Zona Untrust
WebUI
1.
Interfaces
haga clic en Apply:
Zone Name: Trust
Introduzca los siguientes datos y haga clic en OK:
Interface Mode: NAT
NOTA:
De forma predeterminada, cualquier interfaz que se asocie a la zona Trust estar

en modo NAT. Por lo tanto, esta opcin ya est habilitada para las interfaces
asociadas a la zona Trust.
haga clic en OK:
Zone Name: Untrust
IP Address / Netmask: 1.1.1.1/24
Interface Mode: Ruta
NOTA:
Si la direccin IP de la zona Untrust del dispositivo de seguridad es asignada

dinmicamente por un ISP, deje los campos de direccin IP y mscara de red
vacos y seleccione Obtain IP using DHCP. Si el ISP utiliza el protocolo
Point-to-Point Protocol over Ethernet, seleccione Obtain IP using PPPoE, haga
clic en el vnculo Create new PPPoE settings e introduzca su nombre y
contrasea.
2.
VIP
Network > Interfaces > Edit (para ethernet3) > VIP: Introduzca los siguientes
datos y haga clic en Add:
Virtual IP Address (direccin IP virtual o VIP): 1.1.1.5
Network > Interfaces > Edit (para ethernet3) > VIP > New VIP Service:
Virtual Port: 25
Map to Service: Mail
Map to IP: 10.1.1.5
98
Modo NAT
NOTA:
Para obtener ms informacin sobre direcciones IP virtuales (VIP), consulte

Direcciones IP virtuales en la pgina 8-83.
3.
Ruta
4.
Directivas
haga clic en OK:
Source Address:
Service: ANY
Action: Permit
Directivas > (From: Untrust, To: Global) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), VIP(1.1.1.5)
Service: MAIL
Action: Permit
CLI
1.
Interfaces

set interface ethernet1 nat
set interface ethernet3 zone untrust
set interface ethernet3 route
NOTA:
El comando set interface ethernetn nat determina si el dispositivo de seguridad

est funcionando en modo NAT.
Si la direccin IP de la zona Untrust d el dispositivo de seguridad es asignada
dinmicamente por un ISP, utilice el comando siguiente: set interface untrust
dhcp. Si el ISP utiliza el protocolo Point-to-Point Protocol over Ethernet, utilice
los comandos set pppoe y exec pppoe. Para obtener informacin adicional,
consulte Descripciones de comandos IPv4 del Manual de referencia de CLI de
ScreenOS.
Modo NAT
99
2.
VIP
set interface ethernet3 vip 1.1.1.5 25 mail 10.1.1.5

3.
Ruta

4.
Directivas
set policy from trust to untrust any any any permit

set policy from untrust to global any vip(1.1.1.5) mail permit
save
Modo de ruta
Cuando una interfaz est en modo de ruta (Route), el dispositivo de seguridad
enruta el trfico entre diferentes zonas sin ejecutar NAT de origen (NAT-src); es
decir, la direccin de origen y el nmero de puerto en el encabezado del paquete IP
permanecen invariables mientras atraviesan el dispositivo de seguridad. A
diferencia de NAT-src, no es necesario establecer direcciones IP asignadas (MIP) e IP
virtuales (VIP) para permitir que trfico entrante llegue a los hosts cuando la
interfaz de la zona de destino est en modo de ruta. A diferencia del modo
transparente, las interfaces de cada zona se encuentran en subredes diferentes.
Figura 58: Topologa de NAT
10.1.1.15
10.1.1.10
10.1.1.20
10.1.1.5
10.1.1.25
Zona Trust
Espacio de
direcciones privado
Interfaz de la
zona Trust
10.1.1.1/24
Interfaz de la
zona Untrust
1.1.1.1/24
Espacio de
direcciones pblico
Enrutador
externo
Zona Untrust
Internet
100
Modo de ruta
No es necesario aplicar la Traduccin de direcciones de red de origen (NAT-src) en

el nivel de interfaz para que todas las direcciones de origen que inician trfico
saliente sean traducidas a la direccin IP de la interfaz de la zona de destino. En
lugar de ello, puede aplicar NAT-src selectivamente a nivel de directivas. Puede
determinar qu trfico enrutar y a qu trfico aplicar NAT-src creando las directivas
que habilitan NAT-src para las direcciones de origen especificadas tanto en trfico
entrante como saliente. Para el trfico de red, NAT puede utilizar la direccin IP o
direcciones IP de la interfaz de la zona de destino de un conjunto de IP dinmicas
(DIP), que se encuentra en la misma subred que la interfaz de la zona de destino.
Para el trfico VPN, NAT puede utilizar la direccin IP de una interfaz de tnel o una
direccin de su conjunto de DIP asociado.
NOTA:
Para obtener ms informacin sobre cmo configurar NAT-src basada en

directivas, consulte Traduccin de direcciones de red de origen en la
pgina 8-15.
Ajustes de interfaz
Para el modo Route, defina los siguientes ajustes de interfaz, donde dir_ip1 y
dir_ip2 representan los nmeros de una direccin IP, mscara representa los
nmeros de una mscara de red, nm_id_vlan representa el nmero de una
etiqueta VLAN, zona representa el nombre de una zona y nmero representa el
tamao del ancho de banda en kbps:
Tabla 13: Ajustes de interfaz
I
Interfaces de zona
Ajustes
Subinterfaces de zona
Trust, Untrust, DMZ y zonas

definidas por el usuario
IP: ip_addr1
Netmask: mscara
IP de administracin1: ip_addr2
Ancho de banda del trfico2:
nmero
Route3: (seleccione)
IP: ip_addr1
Mscara de red: mask
Ruta: (seleccione)
1.Puede establecer una direccin IP de administracin en cada interfaz. Su finalidad principal es

proporcionar una direccin IP para el trfico administrativo separada del trfico de red. Tambin
puede utilizar la direccin IP de administracin para tener acceso a un dispositivo especfico
cuando se encuentre en una configuracin de alta disponibilidad.
2.Ajuste opcional para la asignacin de trfico.
3.Al seleccionar la ruta, el modo de la interfaz queda definido como Route. Al seleccionar NAT, el
modo de la interfaz queda definido como NAT.
Configuracin del modo de ruta

En Configuracin del modo NAT en la pgina 97, los hosts en la LAN de la zona
Trust tienen direcciones IP privadas y una direccin IP asignada para el servidor de
correo. En el ejemplo siguiente, la misma red est protegida por un dispositivo de
seguridad que funciona en modo de ruta; observe que los hosts tienen direcciones
IP pblicas y que no se requiere una MIP para el servidor de correo. Ambas zonas
de seguridad se encuentran en el dominio de enrutamiento trust-vr.
Modo de ruta 101
Figura 59: Dispositivo en modo de ruta

Enrutador externo
1.1.1.250
Servidor de correo electrnico

1.2.2.5
Internet
ethernet1
1.2.2.1/24
Modo de ruta
Zona Trust
ethernet3
1.1.1.1/24
Modo de ruta
Zona Untrust
WebUI
1.
Interfaces
haga clic en Apply:
Zone Name: Trust
haga clic en OK:
Zone Name: Untrust
NOTA:
Seleccionando Route se determina que el dispositivo de seguridad funcione en el

modo de ruta, sin aplicar NAT al trfico entrante o saliente de la zona Trust.
Si la direccin IP de la zona Untrust del dispositivo de seguridad es asignada
dinmicamente por un ISP, deje los campos de direccin IP y mscara de red
vacos y seleccione Obtain IP using DHCP. Si el ISP utiliza el protocolo
Point-to-Point Protocol over Ethernet, seleccione Obtain IP using PPPoE, haga
clic en el vnculo Create new PPPoE settings e introduzca su nombre y
contrasea.
2.
Direccin
en OK:
Address Name: Mail Server
Zone: Trust
102
Modo de ruta
3.
Ruta
4.
Policies
Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Service: ANY
Action: Permit
Directivas > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), Mail Server
Service: MAIL
Action: Permit
CLI
1.
Interfaces

NOTA:
El comando set interface ethernetnmero route establece que el dispositivo de

seguridad funcione en modo de ruta.
2.
Direccin
set address trust mail_server 1.2.2.5/24

3.
Ruta

4.
Directivas

set policy from untrust to trust any mail_server mail permit
save
Modo de ruta 103
104
Modo de ruta
Captulo 5
Bloques para la construccin de

directivas
Este captulo explica los componentes, o bloques de construccin, a los que puede
hacerse referencia en las directivas. Contiene las siguientes secciones:
Direcciones en la pgina 106
Entradas de direcciones en la pgina 106
Grupos de direcciones en la pgina 108
Servicios en la pgina 111
Servicios predefinidos en la pgina 111
Servicios personalizados en la pgina 125
Establecer el tiempo de espera de un servicio en la pgina 127

personalizado en la pgina 130
Puerta de enlace "Remote Shell" en la capa de aplicacin en la

pgina 131
Sun Remote Procedure Call Application Layer Gateway en la pgina 131
Personalizar Microsoft Remote Procedure Call Application Layer Gateway

en la pgina 133
La Puerta de enlace de la capa de aplicacin del Protocolo de secuencia en

tiempo real en la pgina 134
Grupos de servicios en la pgina 142
Grupo de IP dinmico en la pgina 144
Direcciones DIP sticky en la pgina 147
Usar DIP en otra subred en la pgina 148
Utilizar un DIP en una Interfaz Loopback en la pgina 153
105
NOTA:
Crear un grupo de DIP en la pgina 157
Configurar una programacin recurrente en la pgina 160
Para obtener ms informacin sobre la autenticacin de usuario, consulte el

Volumen 9: Autenticacin de usuarios.
Direcciones
ScreenOS clasifica las direcciones de todos los dems dispositivos segn su
ubicacin y mscara de red. Cada zona posee su propia lista de direcciones y sus
grupos de direcciones.
Los hosts individuales solamente tienen definida una direccin IP, por lo que su
mscara de red debe tener el valor 255.255.255.255 (que enmascara todos los
hosts salvo el propio).
Las subredes tienen una direccin IP y una mscara de red (por ejemplo,
255.255.255.0 o 255.255.0.0).
Para poder configurar directivas que permitan, rechacen o canalicen el trfico a
travs de un tnel desde y hacia determinados hosts y subredes, es necesario crear
las correspondientes entradas en las listas de direcciones de ScreenOS, que estn
organizadas por zonas.
NOTA:
Para Any no es necesario crear entradas de direcciones. Este trmino se aplica

automticamente a todos los dispositivos situados fsicamente dentro de sus
zonas respectivas.
Entradas de direcciones
Para poder establecer muchas de las opciones de configuracin de la pared de
fuego de Juniper, de VPN y de asignacin del trfico, es necesario definir
direcciones en unas o varias listas de direcciones. La lista de direcciones de una
zona de seguridad contiene las direcciones IP o nombres de dominios de los hosts o
subredes cuyo trfico est permitido, bloqueado, encriptado o autenticado por el
usuario.
NOTA:
Para poder utilizar nombres de dominios para las entradas de direcciones, es

necesario configurar el dispositivo de seguridad para los servicios del sistema de
nombres de dominios (Domain Name System o DNS). Para obtener ms
informacin sobre la configuracin de DNS, consulte Compatibilidad con DNS
(sistema de nombres de dominio) en la pgina 221.
Para obtener ms informacin sobre las convenciones de nomenclatura de
ScreenOS (aplicables a los nombres creados para las direcciones), consulte
Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii.
106
Direcciones
Captulo 5: Bloques para la construccin de directivas
Agregar una direccin

En este ejemplo agregar la subred Sunnyvale_Eng con la direccin IP
10.1.10.0/24 como direccin en la zona Trust, y la direccin www.juniper.net
como direccin en la zona Untrust.
WebUI
en OK:
Address Name: Sunnyvale_Eng
Zona: Trust
en OK:
Address Name: Juniper
Domain Name: (seleccione), www.juniper.net
Zona: Untrust
CLI
set address trust Sunnyvale_Eng 10.1.10.0/24
set address untrust Juniper www.juniper.net
save
Modificar una direccin

En este ejemplo cambiar la entrada de la direccin Sunnyvale_Eng para reflejar
que este departamento est dedicado especficamente a la ingeniera de software y
tiene otra direccin IP (10.1.40.0/24).
WebUI
Objects > Addresses > List > Edit (para Sunnyvale_Eng): Cambie el nombre y
la direccin IP por los siguientes datos y haga clic en OK:
Address Name: Sunnyvale_SW_Eng
Zona: Trust
CLI
unset address trust Sunnyvale_Eng
set address trust Sunnyvale_SW_Eng 10.1.40.0/24
save
NOTA:
Despus de definir una direccin, o un grupo de direcciones, y asociarla a una

directiva, no podr cambiar la ubicacin de la direccin a otra zona (como de
Trust a Untrust). Para cambiar su ubicacin, primero debe desvincularla de la
directiva subyacente.
Eliminar una direccin

En este ejemplo eliminar la entrada de la direccin Sunnyvale_SW_Eng.
Direcciones
107
WebUI
Objects > Addresses > List: Haga clic en Remove en la columna Configure
para Sunnyvale_SW_Eng.
CLI
unset address trust Sunnyvale_SW_Eng
save
Grupos de direcciones
En Entradas de direcciones en la pgina 106 se explica cmo crear, modificar y
eliminar las entradas en la libreta de direcciones correspondientes a los diferentes
hosts y subredes. Segn se vayan agregando direcciones a una lista de direcciones,
se har ms difcil controlar cmo las directivas afectan a cada entrada de
direccin. ScreenOS permite crear a grupos de direcciones. En lugar de administrar
un gran nmero de entradas de direcciones, puede administrar un pequeo
nmero de grupos. Los cambios que efecte al grupo se aplicarn a todas las
entradas de direcciones que lo componen.
Figura 60: Grupos de direcciones
1 directiva por direccin
Nombre
Direccin
1 directiva por grupo de direcciones
Directiva
de
acceso
Nombre
Direccin
Directiva
de
acceso
Nombre
Direccin
Directiva
de
acceso
Name
Name
Address
Name
Address
Address
Directiva
de
acceso
La opcin de grupo de direcciones tiene las siguientes caractersticas:
108
Direcciones
Puede crear grupos de direcciones en cualquier zona.
Puede crear grupos de direcciones con los usuarios existentes, o bien crear
grupos de direcciones vacos e introducir posteriormente los usuarios.
Un grupo de direcciones puede ser un miembro de otro grupo de direcciones.
NOTA:
NOTA:
Para asegurarse de que un grupo no est autocontenido accidentalmente como

miembro en su propio grupo, el dispositivo de seguridad realiza una
comprobacin de coherencia cada vez que se incluye un grupo en otro. Por
ejemplo, si agrega el grupo A como miembro al grupo B, el dispositivo de
seguridad se asegura automticamente de que A no contenga ya a B como
miembro.
En una directiva se puede hacer referencia a una entrada de grupo de

direcciones igual que a una entrada individual en la libreta de direcciones.
ScreenOS aplica las directivas a cada miembro del grupo creando internamente
directivas individuales para cada miembro del grupo. Aunque usted solamente
tiene que crear una directiva para un grupo, en realidad ScreenOS crea una
directiva interna para cada miembro del grupo (as como para cada servicio
configurado para cada usuario).
La forma automtica en la que el dispositivo de seguridad aplica directivas a cada

miembro del grupo de direcciones ahorra al usuario tener que crearlas una por
una para cada direccin. ScreenOS incluso escribe estas directivas en ASIC, lo cual
acelera considerablemente la ejecucin de las consultas.
Cuando se elimina una entrada individual en la libreta de direcciones, el

dispositivo de seguridad la elimina automticamente de todos los grupos a los
que perteneci.
Los grupos de direcciones tienen las siguientes limitaciones:
Los grupos de direcciones solamente pueden contener direcciones que

pertenezcan a la misma zona.
Los nombres de direcciones no pueden coincidir con nombres de grupos. Si se

utiliza el nombre Paris para una entrada de direccin individual, no se puede
utilizar para un nombre de grupo.
No se pueden eliminar los grupos a los que se haga referencia en directivas. No

obstante, estos grupos pueden ser editados.
Cuando se asigna una directiva individual a un grupo de direcciones, se aplica

de forma individual a cada miembro del grupo, y el dispositivo de seguridad
genera una entrada por cada miembro en la lista de control de accesos (ACL). Si
el usuario no est pendiente, se puede exceder el nmero de recursos de
directivas disponibles, especialmente si tanto la direccin de origen como la de
destino son grupos de direcciones y el servicio especificado es un grupo de
servicios.
No se pueden agregar las direcciones predefinidas: Any, All Virtual IP ni

Dial-Up VPN a grupos.
Direcciones
109
Crear un grupo de direcciones

En el ejemplo siguiente crear un grupo denominado HQ 2nd Floor que
contendr las dos direcciones Santa Clara Eng y Tech Pubs, que ya habr
introducido en la libreta de direcciones para la zona Trust.
WebUI
Objects > Addresses > Groups > (para la zona: Trust) New: Introduzca el
siguiente nombre de grupo, mueva las siguientes direcciones y haga clic en OK:
Group Name: HQ 2nd Floor
Seleccione Santa Clara Eng y utilice el botn << para trasladar la

direccin de la columna Available Members a la columna Group
Members.
Seleccione Tech Pubs y utilice el botn << para trasladar la direccin de
la columna Available Members a la columna Group Members.
CLI
set group address trust HQ 2nd Floor add Santa Clara Eng
set group address trust HQ 2nd Floor add Tech Pubs
save
Editar una entrada de grupo de direcciones

En este ejemplo agregar Support (una direccin que ya habr introducido en la
libreta de direcciones) al grupo de direcciones HQ 2nd Floor.
WebUI
Objects > Addresses > Groups > (para la zona: Trust) Edit (para HQ 2nd
Floor): Mueva la siguiente direccin, luego haga clic en OK:
Seleccione Support y utilice el botn << para trasladar la direccin de la
CLI
set group address trust HQ 2nd Floor add Support
save
Eliminar un miembro y un grupo

En este ejemplo eliminar el miembro Support del grupo de direcciones HQ 2nd
Floor y eliminar Sales, un grupo de direcciones que previamente habr creado.
WebUI
Objects > Addresses > Groups > (para la zona: Trust) Edit (HQ 2nd Floor):
Mueva la siguiente direccin, luego haga clic en OK:
Seleccione Support y utilice el botn >> para trasladar la direccin de la
columna Group Members a la columna Available Members.
Objects > Addresses > Groups > (para la zona: Trust): Haga clic en Remove
en la columna Configure para Sales.
110
Direcciones
CLI
unset group address trust HQ 2nd Floor remove Support
unset group address trust Sales
save
NOTA:
El dispositivo de seguridad no elimina automticamente un grupo del que se

hayan eliminado todos los nombres.
Servicios
Los servicios son tipos de trfico para los que existen estndares de protocolos.
Cada servicio tiene asociados un protocolo de transporte y uno o varios nmeros de
puertos de destino, como el puerto TCP n 21 para FTP y el puerto TCP n 23 para
Telnet. Al crear una directiva se debe especificar un servicio para ella. Puede
seleccionar uno de los servicios predefinidos del libro de servicios, o bien un
servicio personalizado o grupo de servicios que haya creado. Para consultar qu
servicio puede utilizar en una directiva, visualice la lista desplegable Service de la
pgina Policy Configuration (WebUI) o ejecute el comando get service (CLI).
Servicios predefinidos
Puede visualizar la lista de servicios predefinidos o personalizados, o bien los
grupos de servicios en el dispositivo de seguridad mediante WebUI o CLI.
Mediante WebUI:
Objects > Services > Predefined
Objects > Services > Custom
Objects > Services > Groups
Mediante CLI:
get service [ group | predefined | user ]
NOTA:
Cada servicio predefinido tiene un rango de puertos de origen entre 1 y 65535,

que abarca todo el conjunto de nmeros de puerto vlidos. Esto evita que posibles
atacantes obtengan acceso a travs de un puerto de origen que se encuentre fuera
del rango. Si necesita utilizar un rango de puertos de origen distinto para cualquier
servicio predefinido, cree un servicio personalizado. Para obtener informacin,
consulte Servicios personalizados en la pgina 125.
Esta seccin contiene informacin sobre los siguientes servicios predefinidos:
Protocolo de mensajes de control de Internet en la pgina 112
Servicios predefinidos relacionados con Internet en la pgina 115
Servicios de llamadas de procedimiento remoto de Microsoft en la pgina 117
Protocolo de enrutamiento dinmico en la pgina 119

Servicios
111
Vdeo de secuencia en la pgina 119
Servicios de llamadas de procedimiento remoto de Sun en la pgina 120
Servicios de tnel y seguridad en la pgina 121
Servicios relacionados con IP en la pgina 121
Servicios de mensajes instantneos en la pgina 122
Servicios de administracin: en la pgina 122
Servicios de correo en la pgina 123
Servicios de UNIX en la pgina 124
Servicios miscelneos en la pgina 124
Puede encontrar informacin ms detalladas sobre algunos de los enumerados en

las siguientes pginas:

personalizado en la pgina 130
Puerta de enlace "Remote Shell" en la capa de aplicacin en la pgina 131
Sun Remote Procedure Call Application Layer Gateway en la pgina 131
Personalizar Microsoft Remote Procedure Call Application Layer Gateway en

la pgina 133
La Puerta de enlace de la capa de aplicacin del Protocolo de secuencia en

tiempo real en la pgina 134
Protocolo de mensajes de control de Internet

El protocolo de mensajes de control de Internet (ICMP) es una parte de IP y
proporciona una manera de consultar una red (Mensajes de consulta de ICMP) y
recibir retroalimentacin de la red para obtener los patrones de errores (Mensajes
de error de ICMP). Sin embargo, ICMP no garantiza el informe o entrega de
mensajes de error de todos los datagramas perdidos y no es un protocolo confiable.
El cdigo de ICMP y los cdigos de tipo describen los Mensajes de error de ICMP y
los Mensajes de consultas de ICMP.
Puede seleccionar permitir o rechazar cualquiera o tipos especficos de los
mensajes de ICMP para mejorar la seguridad de la red. Algunos de los tipos de
mensajes de ICMP pueden aprovechar el obtener informacin sobre su red que
puede comprometer la seguridad. Por ejemplo, los paquetes ICMP, TCP o UDP se
pueden construir para regresar los mensajes de error de ICMP que contienen
informacin sobre una red, como su topologa y las caractersticas de filtrado de la
lista de accesos. La siguiente tabla enumera los nombres de mensajes de ICMP, la
descripcin, el tipo y el cdigo correspondiente.
112
Servicios
Nombre de mensaje de ICMP
Cdigo Tipo
ICMP-ANY
todos
Descripcin
todos ICMP-ANY afecta cualquier protocolo que utilice ICMP.

Al denegar ICMP-ANY perjudica cualquier intento de ejecutar
el comando ping o supervisar una red utilizando ICMP.
Al permitir ICMP-ANY permite todos los mensajes de ICMP.
ICMP-ADDRESS-MASK
Request (peticin)
17
Reply (respuesta)
18
La Consulta de mscara de la direccin de ICMP se utiliza

para los sistemas que necesitan la mscara de subred local
de un servidor bootstrap.
Al denegar los mensajes de peticin de mscara de direccin
de ICMP puede afectar de manera desfavorable a los
sistemas sin discos.
Al permitir los mensajes de peticin de mscara de direccin
de ICMP puede permitir que otros coloquen su huella dactilar
en el sistema operativo de un host en su red.
ICMP-DEST-UNREACH
El mensaje de error de destino inalcanzable de ICMP indica

que el host de destino est configurado para rechazar los
paquetes.
Los cdigos 0, 1, 4 o 5 pueden ser de una puerta de enlace.
Los cdigos 2 o 3 de un host (RFC 792).
Al denegar los mensajes de error de destino inalcanzable de
ICMP se puede eliminar el supuesto que un host est activo y
ejecutndose detrs de un dispositivo de seguridad.
Al permitir los mensajes de error de destino inalcanzable de
ICMP puede permitir que se realicen algunos supuestos,
como el filtrado de seguridad, sobre la red.
ICMP Fragment Needed
El mensaje de error de fragmentacin de ICMP indica que

esa fragmentacin es necesaria pero no est establecido el
flag de fragmentos.
Se recomienda denegar estos mensajes de Internet (untrust)
a la red confiable.
ICMP Fragment Reassembly
11
El error de tiempo excedido de reensamblaje de fragmentos

de ICMP indica que un host reensambla un mensaje
fragmentado que agot el tiempo y descart el paquete. Este
mensaje se enva algunas veces.
a la red confiable.
ICMP-HOST-UNREACH
Los mensajes de error de host inalcanzable de ICMP indican

que las entradas de la tabla de enrutamiento no enumera o
enumeran como infinito un host determinado. Algunas
veces este error se enva por puertas de enlace que no se
pueden fragmentar cuando se recibe un paquete que
requiere de fragmentacin.
a la red confiable.
El permitir estos mensajes proporciona a otros la capacidad
para determinar sus direcciones de IP de hosts internos por
medio de un proceso de eliminacin o al realizar supuestos
sobre las puertas de enlace y la fragmentacin.
Servicios
113
Cdigo Tipo
Descripcin
Request (peticin)
15
Reply (respuesta)
Los mensajes de consultas de ICMP-INFO permiten a los

sistemas de host sin discos consultar la red y configurarse a
s mismo.
16
ICMP-INFO
Al denegar los mensajes de peticin de mscara de direccin

de ICMP puede afectar de manera desfavorable a los
sistemas sin discos.
El permitir los mensajes de peticin de mscara de direccin
de ICMP puede permitir que otros transmitan consultas
sobre informacin a un segmento de red para determinar el
tipo de computadora.
ICMP-PARAMETER-PROBLEM
12
Los mensajes de error de problemas de parmetros de ICMP

le notifican cuando se presentan parmetros de encabezado
incorrectos y ocasionan que se deseche un paquete
a una red confiable.
El permitir los mensajes de error de problemas de
parmetros de ICMP permite a otros tomar supuestos sobre
su red.
ICMP-PORT-UNREACH
Los mensajes de error de puerto inalcanzable de ICMP

indican que los datagramas de procesamiento de puertas de
enlace solicitan que determinados puertos no estn
disponibles o sean incompatibles en la red.
a la red confiable.
El permitir los mensajes de error de puerto inalcanzable de
ICMP puede permitir a otros determinar qu puertos utiliza
para determinados protocolos.
ICMP-PROTOCOL-UNREACH
Los mensajes de error de protocolo inalcanzable de ICMP

indican que los datagramas de procesamiento de puertas de
enlace solicitan que determinados protocolos no estn
disponibles o sean incompatibles en la red.
a la red confiable.
El permitir los mensajes de error de protocolo inalcanzable
de ICMP puede permitir a otros determinar qu protocolos
est ejecutando su red.
ICMP-REDIRECT
Los mensajes de error de red de desvo de ICMP se envan

por medio de los enrutadores.
a la red confiable.
114
ICMP-REDIRECT-HOST
Los mensajes de desvo de ICMP indican los datagramas

destinados para que se enve el host especificado junto con
otra ruta.
ICMP-REDIRECT-TOS-HOST
El error de host y tipo de servicio (TOS) de desvi de ICMP es

un tipo de mensaje.
ICMP-REDIRECT-TOS-NET
El error de red y TOS de desvo de ICMP es un tipo de

mensaje.
Servicios
Cdigo Tipo
Descripcin
ICMP-SOURCE-QUENCH
El mensaje de error de desconexin de origen de ICMP

indica que un enrutador no tiene el espacio en bfer
disponible para aceptar colocar en cola y enviar los paquetes
en el siguiente salto.
Al denegar estos mensajes no ayudar ni perjudicar el

rendimiento de red interna.
Al permitir estos mensajes puede permitir que otros
conozcan que un enrutador est congestionado hacindolo
un objetivo de ataque posible.
ICMP-SOURCE-ROUTE-FAIL
Mensaje de error de ruta de origen con fallo de ICMP

Se recomienda denegar estos mensajes de Internet (untrust).
ICMP-TIME-EXCEEDED
11
El mensaje de error de tiempo de vida (TTL) excedido de

ICMP indica que un ajuste de TTL de un paquete llegue a
cero antes de que el paquete llegue a su destino. Esto
asegura que los paquetes anteriores se descarten antes de
que se procesen los reenviados.
Se recomienda denegar estos mensajes de una red confiable
fuera de Internet.
ICMP-TIMESTAMP
Request (peticin)
13
Reply (respuesta)
14
Ping (ICMP ECHO)
El mensaje de consulta de ICMP-TIMESTAMP proporciona el

mecanismo para sincronizar el tiempo y coordinar la
distribucin de tiempo en una red grande y diversa.
El Agrupador de Internet de paquetes es una utilidad para
determinar si el host especfico est accesible por su
respuesta de eco de direccin IP .0/0.
Al denegar la funcionalidad de ejecucin del comando ping
elimina su posibilidad de revisar para ver si un host est
activo.
Al permitir la ejecucin del comando ping puede permitir a
otros ejecutar el rechazo de servicio (DoS) o ataque Smurf.
ICMP-ECHO-FRAGMENTASSEMBLY-EXPIRE
11
El mensaje de error de tiempo expirado de reensamblaje de

eco de fragmento de ICMP indica que el tiempo de
reensamblaje se excedi.
Se recomienda denegar estos mensajes.
Traceroute
Forward (reenvo)
30
Discard (descartar)
30
Traceroute es una utilidad para indicar la ruta para acceder a

un host especfico.
Se recomienda denegar esta utilidad de Internet (untrust) a
su red interna (trust).
Servicios predefinidos relacionados con Internet

La tabla siguiente enumera los servicios predefinidos relacionados con Internet.
Dependiendo de los requerimientos de su red, puede seleccionar permitir o
denegar alguno o todos estos servicios. Cada entrada enumera el nombre de
servicio, puerto de recepcin predeterminado y descripcin del servicio.
Servicios
115
Nombre del servicio
Puertos
Descripcin del servicio
AOL
5190-5193
El proveedor de servicio de Internet (ISP)

America Online proporciona Internet, chat y
servicios de mensajes instantneos.
DHCP-Relay
67
(predetermin
ado)
Configuracin de host dinmico.
DHCP
68 cliente
El Protocolo de configuracin de host dinmico

asigna direcciones de red y entrega los
parmetros de configuracin del servidor a los
hosts.
67 servidor
DNS
53
FTP
FTP-Get
20 datos
FTP-Put
21 control
El sistema de nombres de dominio convierte los

nombres de dominio en direcciones IP.
El Protocolo de transferencia de archivos (FTP)
permite el envo y recepcin de archivos entre
las mquinas. Puede seleccionar denegar o
permitir ANY (GET o PUT) o permitir o denegar
selectivamente ya sea GET o PUT. GET recibe los
archivos de otra mquina y PUT enva archivos a
otra mquina.
Le recomendamos denegar los servicios de FTP
de las fuentes no fiables (Internet).
Gopher
70
Gopher organiza y muestra los contenidos de los

servidores de Internet como una lista de
archivos estructurada jerrquicamente.
Le recomendamos denegar el acceso de Gopher
para evitar la exposicin de la estructura de su
red.
HTTP
8080
El protocolo de transferencia de hipertexto es el

protocolo subyacente que utiliza World Wide
Web (WWW).
Al denegar el servicio de HTTP desactiva sus
usuarios de ver Internet.
Al permitir el servicio de HTTP permite a sus
hosts confiables ver Internet.
HTTP-EXT
El protocolo de transferencia de hipertexto con

puertos extendidos no estndar
HTTPS
443
El Protocolo de transferencia de hipertexto con

Nivel de sockets seguro (SSL) es un protocolo
para transmitir documentos privados a travs de
Internet.
El denegar HTTPS desactiva a sus usuarios de
realizar compras en Internet y de acceder a
determinados recursos en lnea que requieren
del intercambio de contraseas de seguridad.
Al permitir HTTPS permite a sus hosts
confiables participar en el intercambio de
contraseas, compras en lnea y visitar varios
recursos en lnea protegidos que requieren el
inicio de sesin del usuario.
Internet Locator Service
116
Servicios
El Servicio de localizador de Internet incluye

LDAP, Servicio de localizador de usuario y LDAP
sobre TSL/SSL.
Nombre del servicio
Puertos
Descripcin del servicio
IRC
6665-6669
El Chat de retransmisin de Internet (IRC)

permite a las personas conectadas al Internet
unirse a discusiones activas.
LDAP
389
El Protocolo ligero de acceso a directorios es un

grupo de protocolos que se utiliza para acceder a
directorios de informacin.
PC-Anywhere
PC-Anywhere es un software de transferencia de

archivos y control remoto.
TFTP
69
TFTP es un protocolo para la transferencia

sencilla de archivos.
WAIS
El servidor de informacin de rea extensa es un

programa que encuentra documentos en
Internet.
Servicios de llamadas de procedimiento remoto de Microsoft

Las siguientes tablas enumeran los servicios de Microsoft predefinidos, los
parmetros asociados con cada servicio y una breve descripcin de cada servicio.
Los parmetros incluyen los Identificadores nicos universales (UUID) y los puertos
de destino y origen de TCP/UDP. Un UUID es un nmero nico de 128 bit generado
de una direccin de hardware, una marca de hora y valores de inicializacin.
Servicio
Parmetro/UUID
Descripcin
MS-RPC-EPM
135
Protocolo Remote Procedure Call (RPC) Endpoint

Mapper (EPM) de Microsoft
e1af8308-5d1f-11c9-91a4-08002b14a0fa
MS-RPC-ANY
Cualesquiera servicios Remote Procedure Call

(RPC) de Microsoft
MS-AD
4 miembros
Active Directory Service Group de Microsoft

incluye:
MS-AD-BR
MS-AD-DRSUAPI
MS-AD-DSROLE
MS-AD-DSSETUP
MS-EXCHANGE
6 miembros
Exchange Service Group de Microsoft incluye:

MS-EXCHANGE-DATABASE
MS-EXCHANGE-DIRECTORY
MS-EXCHANGE-INFO-STORE
MS-EXCHANGE-MTA
MS-EXCHANGE-STORE
MS-EXCHANGE-SYSATD
Servicios
117
Servicio
Parmetro/UUID
Descripcin
MS-IIS
6 miembros
IIS Server Service Group de Microsoft incluye:

MS-IIS-COM
MS-IIS-IMAP4
MS-IIS-INETINFO
MS-IIS-NNTP
MS-IIS-POP3
MS-IIS-SMTP
MS-AD-BR
16e0cf3a-a604-11d0-96b1-00a0c91ece30
Servicios de copia de seguridad y restauracin de

Active Directory de Microsoft
MS-AD-DRSUAPI
e3514235-4b06-11d1-ab04-00c04fc2dcd2
Active Directory Replication Service de Microsoft
MS-AD-DSROLE
1cbcad78-df0b-4934-b558-87839ea501c9
Active Directory DSROLE Service de Microsoft
MS-AD-DSSETUP
3919286a-b10c-11d0-9ba8-00c04fd92ef5
Active Directory Setup Service de Microsoft
MS-DTC
906b0ce0-c70b-1067-b317-00dd010662da
Distributed Transaction Coordinator Service de

Microsoft
MS-EXCHANGE-DATABASE
1a190310-bb9c-11cd-90f8-00aa00466520
Servicio de base de datos de Microsoft Exchange
f5cc5a18-4264-101a-8c59-08002b2f8426
Servicio de directorios de Microsoft Exchange
MS-EXCHANGE-DIRECTORY
ecec0d70-a603-11d0-96b1-00a0c91ece30
f5cc5a7c-4264-101a-8c59-08002b2f8426
f5cc59b4-4264-101a-8c59-08002b2f8426
MS-EXCHANGE-INFO-STORE 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
Exchange Information Store Service de Microsoft
1453c42c-0fa6-11d2-a910-00c04f990f3b
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
MS-EXCHANGE-MTA
9e8ee830-4459-11ce-979b-00aa005ffebe
Exchange MTA Service de Microsoft
38a94e72-a9bc-11d2-8faf-00c04fa378ff
MS-EXCHANGE-STORE
99e66040-b032-11d0-97a4-00c04fd6551d
Servicio de almacn de Microsoft Exchange
89742ace-a9ed-11cf-9c0c-08002be7ae86
a4f1db00-ca47-1067-b31e-00dd010662da
a4f1db00-ca47-1067-b31f-00dd010662da
MS-EXCHANGE-SYSATD
67df7c70-0f04-11ce-b13f-00aa003bac6c
Servicio System Attendant de Microsoft Exchange
f930c514-1215-11d3-99a5-00a0c9b61b04
83d72bf0-0d89-11ce-b13f-00aa003bac6c
469d6ec0-0d87-11ce-b13f-00aa003bac6c
06ed1d30-d3d3-11cd-b80e-00aa004b9c30
MS-FRS
f5cc59b4-4264-101a-8c59-08002b2f8426
Servicio de replicacin de archivos de Microsoft
d049b186-814f-11d1-9a3c-00c04fc9b232
a00c021c-2be2-11d2-b678-0000f87a8f8e
MS-IIS-COM
70b51430-b6ca-11d0-b9b9-00a0c922e750
a9e69612-b80d-11d0-b9b9-00a0c922e70
118
Servicio COM GUID/UUID de Microsoft Internet

Information Server
MS-IIS-IMAP4
2465e9e0-a873-11d0-930b-00a0c90ab17c
Servicio IMAP4 de Microsoft Internet Information

Server
MS-IIS-INETINFO
82ad4280-036b-11cf-972c-00aa006887b0
Internet Information Server Administration Service

de Microsoft
Servicios
Servicio
Parmetro/UUID
Descripcin
MS-IIS-NNTP
4f82f460-0e21-11cf-909e-00805f48a135
Internet Information Server NNTP Service de

Microsoft
MS-IIS-POP3
1be617c0-31a5-11cf-a7d8-00805f48a135
Internet Information Server POP3 Service de

Microsoft
MS-IIS-SMTP
8cfb5d70-31a4-11cf-a7d8-00805f48a135
Internet Information Server STMP Service de

Microsoft
MS-ISMSERV
68dcd486-669e-11d1-ab0c-00c04fc2dcd2
Inter-site Messaging Service de Microsoft
130ceefb-e466-11d1-b78b-00c04fa32883
MS-MESSENGER
17fdd703-1827-4e34-79d4-24a55c53bb37
Servicio Microsoft Messenger
5a7b91f8-ff00-11d0-a9b2-00c04fb6e6fc
MS-MQQM
fdb3a030-065f-11d1-bb9b-00a024ea5525
76d12b80-3467-11d3-91ff-0090272f9ea3
Windows Message Queue Management Service de

Microsoft
1088a980-eae5-11d0-8d9b-00a02453c33
5b5b3580-b0e0-11d1-b92d-0060081e87f0
41208ee0-e970-11d1-9b9e-00e02c064c39
MS-NETLOGON
MS-SCHEDULER
12345678-1234-abcd-ef00-01234567cffb
Servicio Microsoft Netlogon
1ff70682-0a51-30e8-076d-740be8cee98b
Servicio Microsoft Scheduler
378e52b0-c0a9-11cf-822d-00aa0051e40f
0a74ef1c-41a4-4e06-83ae-dc74fb1cdd53
MS-WIN-DNS
50abc2a4-574d-40b3-9d66-ee4fd5fba076
Servidor DNS de Microsoft Windows
MS-WINS
45f52c28-7f9f-101a-b52b-08002b2efabe
Servicio WINS de Microsoft
811109bf-a4e1-11d1-ab54-00a0c91e9b45
Protocolo de enrutamiento dinmico

Dependiendo de los requerimientos de su red, puede seleccionar permitir o
denegar los mensajes generados de y los paquetes de estos protocolos de
enrutamiento dinmico. La siguiente tabla enumera cada protocolo de
enrutamiento dinmico compatible por nombre, puerto y descripcin.
Protocolo de enrutamiento
dinmico
Puerto Descripcin
RIP
520
RIP es un protocolo de enrutamiento de vector de

distancia comn.
OSPF
89
OSPF es un protocolo de enrutamiento de conexiones

de estado comn.
BGP
179
BGP es un protocolo de enrutamiento entre

dominios/exterior.
Vdeo de secuencia
La siguiente tabla enumera cada servicio de vdeo de secuencia compatible por
nombre e incluye el puerto predeterminado y la descripcin. Dependiendo de los
requerimientos de su red, puede seleccionar permitir o denegar alguno o todos
estos servicios.
Servicios
119
Servicio
Puerto
Descripcin
H.323
TCP origen
1-65535; TCP
destino
1720, 1503,
389, 522,
1731
H.323 es un estndar aprobado por la Unin de

telecomunicaciones internacional (ITU) que define la
manera en la cual se transmiten los datos de
conferencia audiovisual a travs de las redes.
UDP origen
1-65535;
UDP origen
1719
NetMeeting
TCP origen
Microsoft NetMeeting utiliza TCP para proporcionar
1-65535; TCP servicios de teleconferencias (vdeo y audio) en el
destino
Internet.
1720, 1503,
389, 522
UDP origen
1719
Real media
TCP origen
Real Media es un vdeo de secuencia y tecnologa de
1-65535; TCP audio.
destino 7070
RTSP
554
El protocolo de secuencia de tiempo real (RTSP) para

las aplicaciones de medios en secuencia
SIP
5056
El Protocolo de inicio de sesin (SIP) es un protocolo

de control de nivel de aplicacin para crear, modificar
y terminar las sesiones.
VDO Live
VDOLive es una tecnologa de secuencia de vdeo

TCP origen
1-65535; TCP modificable.
destino
7000-7010
Servicios de llamadas de procedimiento remoto de Sun

La siguiente tabla enumera cada nombre completo, parmetros y nombre del
servicio de Sun Remote Procedure Call Application Layer Gateway (RPC ALG).
Nmeros del
programa
Nombre completo
SUN-RPC-PORTMAPPER
111
100000
Protocolo de asignacin de puertos Sun

RPC
SUN-RPC-ANY
ANY
Cualquier servicio Sun RPC
SUN-RPC-PROGRAM-MOUNTD
100005
Demonio de montaje Sun RPC Mount

Daemon
100003
Sistema de archivos en red Sun RPC

Network File System
Servicio
SUN-RPC-PROGRAM-NFS
100227
120
Servicios
SUN-RPC-PROGRAM-NLOCKMGR 100021
Administrador de bloqueos de red Sun RPC

Network Lock Manager
SUN-RPC-PROGRAM-RQUOTAD
100011
Demonio de cuotas remotas Sun RPC

Remote Quota Daemon
SUN-RPC-PROGRAM-RSTATD
100001
Demonio de estado remoto Sun RPC

Remote Status Daemon
Servicio
Nmeros del
programa
SUN-RPC-PROGRAM-RUSERD
100002
Demonio de usuarios remotos Sun RPC

Remote User Daemon
SUN-RPC-PROGRAM-SADMIND
100232
Demonio de administracin del sistema

Sun RPC System Administration Daemon
SUN-RPC-PROGRAM-SPRAYD
100012
Demonio Sun RPC SPRAY Daemon
SUN-RPC-PROGRAM-STATUS
100024
Sun RPC STATUS
SUN-RPC-PROGRAM-WALLD
100008
Demonio Sun RPC WALL Daemon
SUN-RPC-PROGRAM-YPBIND
100007
Servicio de asignacin de pgina amarilla

SUN RPC Yellow Page Bind Service
Nombre completo
Servicios de tnel y seguridad

La siguiente tabla enumera cada servicio compatible y proporciona los puertos y
una descripcin de cada entrada.
Servicio
Puerto
Descripcin
IKE
UDP origen
1-65535; UDP
destino 500
IKE es un protocolo para obtener el material

clave autenticado para el uso con ISAKMP.
4500 (se utiliza

para NAT
trasversal)
Cuando configura IKE automtico, puede

seleccionar de tres propuestas predefinidas
Fase 1 o Fase 2:
Estndar: AES y 3DES
Bsicas: DES y dos tipos diferentes de
algoritmos de autenticacin
Compatible: cuatro algoritmos de
encriptacin y autenticacin que se utilizan

comnmente
L2TP
1723
L2TP combina el Protocolo de encapsulamiento

de punto a punto (PPTP) con la capa dos de
reenvo (L2F) para el acceso remoto.
PPTP
El Protocolo de encapsulamiento de punto a

punto permite a las corporaciones ampliar sus
propias redes privadas a travs de los tneles
privados en Internet pblico.
Servicios relacionados con IP

La siguiente tabla enumera los servicios predefinidos relacionados con IP. Cada
entrada incluye el puerto predeterminado y una descripcin del servicio.
Servicio
Puerto
Descripcin
Any
Cualquier servicio
TCP-ANY
1-65535
Cualquier protocolo que utilice el Protocolo de

control de transporte
TCPMUX puerto 1
UDP-ANY
137
Cualquier protocolo que utilice el Protocolo de

datagrama de usuario
Servicios
121
Servicios de mensajes instantneos

La siguiente tabla enumera los servicios de mensajes predefinidos de Internet. Cada
entrada incluye el nombre del servicio, los puertos asignados o predeterminados y
una descripcin del servicio.
Servicio
Puerto
Descripcin
Gnutella
6346
(predeterminad
o)
El Protocolo de distribucin de archivos Gnutella es

un protocolo de distribucin de archivos de dominio
pblico que opera sobre una red distribuida. Puede
asignar cualquier puerto, pero el puerto
predeterminado es 6346.
MSN
1863
Network Messenger de Microsoft es una utilidad que

permite que enve mensajes instantneos y hablar
en lnea.
NNTP
119
El Protocolo de transporte de noticias de red es un

protocolo que se utiliza para colocar, distribuir y
recuperar mensajes de USENET.
SMB
445
El Protocolo de bloqueo de mensajes del servidor

(SMB) sobre IP le permite leer y escribir archivos a
un servidor en una red.
YMSG
5010
Yahoo! Messenger es una utilidad que le permite

verificar cuando otros estn en lnea, enviar
mensajes instantneos y hablar en lnea.
Servicios de administracin:
La siguiente tabla enumera los servicios predefinidos de administracin. Cada
entrada incluye el nombre del servicio, el puerto asignado o predeterminado y una
descripcin del servicio.
122
Servicios
Servicio
Puerto
Descripcin
NBNAME
137
El Servicio de nombres NetBIOS muestra todos los

paquetes de nombre de NetBIOS enviados en UDP
puerto 137.
NDBDS
138
El Servicio de datagrama de NetBIOS, publicado por

IBM, proporciona servicios sin conexin (datagrama)
a las PC conectados con un medio de difusin para
localizar los recursos, iniciar sesiones y terminar
sesiones. No es confiable y los paquetes no tienen
secuencia.
NFS
El sistema de archivos de red utiliza UDP para

permitir a los usuarios de red acceder a los archivos
compartidos almacenados en las computadoras de
diferentes tipos. SUN RPC es un bloque de
construccin de NFS.
NS Global
NS-Global es el protocolo de administracin central

para los dispositivos de VPN/pared de fuego de
Juniper Networks.
NS Global PRO
NS Global-PRO es el sistema de supervisin en escala

para la familia de dispositivos de VPN/pared de fuego
de Juniper Networks.
NSM
Administracin de seguridad de NetScreen
Servicio
Puerto
Descripcin
NTP
123
El protocolo de tiempo de red proporciona una

manera para que las computadoras se sincronicen a
un tiempo referente.
RLOGIN
513
RLOGIN inicia una sesin de terminal en un host

remoto.
RSH
514
RSH ejecuta un comando shell en un host remoto.
SNMP
161
El Protocolo de administracin de red sencillo es un

conjunto de protocolos para administrar las redes
complejas.
SQL*Net V1
66
SQL*Net Versin 1 es un lenguaje de base de datos

que permite la creacin, acceso, modificacin y
proteccin de datos.
SQL*Net V2
66
SQL*Net Versin 2 es un lenguaje de base de datos

que permite la creacin, acceso, modificacin y
proteccin de datos.
MSSQL
1433 (caso
predetermin
ado)
Microsoft SQL es una herramienta del servidor de

base de datos de propiedad que permite la creacin,
acceso, modificacin y proteccin de datos.
SSH
22
Shell seguro es un programa para registrarse en otra

computadora sobre una red a travs de la
autenticacin slida y las comunicaciones seguras en
un canal inseguro.
SYSLOG
514
Syslog es un programa de UNIX que enva mensajes

al registrador del sistema.
Talk
517-518
Talk es un programa de comunicacin visual que

copia lneas de su terminal a una determinada de
otro usuario.
Telnet
23
Telnet es un programa de UNIX que proporciona un

mtodo estndar de realizacin de interfaces de
dispositivos de terminal y procesos orientados a
terminales entre s.
WinFrame
WinFrame es una tecnologa que permite a los

usuarios que se encuentran en mquinas que no
cuentan con Windows ejecutar aplicaciones de
Windows.
X-Windows
X-Windows es el sistema de grficas y ventanas en el

que se basan Motif y OpenLook.
Servicios de correo
La siguiente tabla enumera los servicios predefinidos de correo. Cada uno incluye el
nombre del servicio, el nmero de puerto asignado o predeterminado y una
Servicios
123
Servicio
Puerto
Descripcin
IMAP
143
El protocolo de acceso de mensajes de Internet es

un protocolo que se utiliza para recuperar los
mensajes.
Mail (SMTP)
25
El Protocolo de transferencia de correo sencillo es

un protocolo para el envo de mensajes entre
servidores.
POP3
110
El protocolo de oficina postal es un protocolo que

se utilizar para recuperar correo electrnico.
Servicios de UNIX
La siguiente tabla enumera los servicios predefinidos de UNIX. Cada entrada
incluye el nombre del servicio, el puerto asignado o predeterminado y una
Servicio
Puerto
Descripcin
FINGER
79
Finger es un programa de UNIX que proporciona

informacin sobre los usuarios.
UUCP
117
El protocolo de copia de Unix a Unix (UUCP) es

una utilidad de UNIX que permite la transferencia
de archivos entre dos computadoras sobre una
conexin de mdem o serial directa.
Servicios miscelneos
La siguiente tabla enumera los servicios miscelneos predefinidos. Cada entrada
incluye el nombre del servicio, el puerto asignado o predeterminado y una
Servicio
Puerto
Descripcin
CHARGEN
19
El Protocolo del generador de caracteres es

una herramienta de medida y depuracin con
base en TCP o UDP.
DISCARD
El Protocolo de descarte es un protocolo de

capas de aplicacin que describe un proceso
para descartar los datos de TCP o UDP
enviados al puerto 9.
IDENT
113
El Protocolo de identificacin es un protocolo

de capa de aplicacin de TCP/IP que se utiliza
para la autenticacin de clientes de TCP.
LPR
515 listen;
El Protocolo de demonio de impresora de

lnea es un protocolo con base en TCP que se
utiliza para los servicios de impresin.
721-731 rango
de origen
(inclusive)
RADIUS
124
Servicios
1812
El Servicio remoto de autentificacin de

usuarios de acceso telefnico es un programa
del servidor que se utiliza para propsitos de
autenticacin y contabilidad.
Servicio
Puerto
Descripcin
SQLMON
1434 (Puerto de
supervisin de
SQL)
Supervisor de SQL (Microsoft)
VNC
5800
La Computacin de red virtual facilita la

visualizacin e interaccin con otra
computadora en el dispositivo mvil
conectada a Internet.
WHOIS
43
El Protocolo de servicio de directorio de red es

una manera de buscar los nombres de
dominio.
IPSEC-NAT
IPSEC-NAT permite la Traduccin de

direcciones de red para los paquetes de
ISAKMP y ESP.
SCCP
2000
El Protocolo de control de llamadas de

estacin de Cisco utiliza el puerto de control
de conexin de sealizacin (SCCP) para
proporcionar alta disponibilidad y control de
flujo.
VOIP
El Grupo de servicio de voz sobre IP

proporciona los servicios de voz sobre
Internet e incluye el protocolo de inicio de
sesin (SIP) y H.323.
Servicios personalizados
En lugar de utilizar servicios predefinidos, puede crear fcilmente servicios
personalizados. Puede asignar a cada servicio personalizado los atributos
siguientes:
Nombre
Protocolo de transporte
Nmeros de los puertos de origen y de destino para los servicios que utilizan
TCP o UDP
Valores de tipos y cdigos para los servicios que utilizan ICMP
Valor del tiempo de espera
Si crea un servicio personalizado en un sistema virtual (vsys) que tiene el mismo

nombre que un servicio personalizado previamente definido en el sistema raz, el
servicio en el vsys asume el tiempo de espera predeterminado para el protocolo de
transporte especificado (TCP, UDP o ICMP). Para definir el tiempo de espera
personalizado para un servicio en un vsys distinto del predeterminado cuando un
servicio personalizado con el mismo nombre en el sistema raz ya disponga de su
propio tiempo de espera, cree el servicio personalizado en el vsys y en el sistema
raz en el orden siguiente:
1. Primero, cree un servicio personalizado con un tiempo de espera personalizado
en vsys.
Servicios
125
2. A continuacin, cree otro servicio personalizado con el mismo nombre pero

con otro tiempo de espera en el sistema raz.
Los ejemplos siguientes describen cmo agregar, modificar y eliminar un servicio
personalizado.
NOTA:

ScreenOS (aplicables a los nombres creados para los servicios personalizados),
consulte Convenciones de nomenclatura y conjuntos de caracteres en la
pgina xii.
Agregar un servicio personalizado

Para agregar un servicio personalizado al libro de servicios se necesita la
informacin siguiente:
Un nombre para el servicio: en este ejemplo cust-telnet.
Un rango de nmeros de puertos de origen: 1 65535.
Un rango de nmeros de puertos de destino para recibir la peticin del servicio:

Por ejemplo: 23000 23000.
Si el servicio utiliza el protocolo TCP o UDP u otro protocolo compatible con las
especificaciones de Internet. En este ejemplo, el protocolo es TCP.
WebUI
Objects > Services > Custom > New: Introduzca los siguientes datos y haga
clic en OK:
Service Name: cust-telnet
Service Timeout: Custom (seleccione), 30 (escriba)
Transport Protocol: TCP (seleccione)
Source Port Low: 1
Source Port High: 65535
Destination Port Low: 23000
Destination Port High: 23000
CLI
set service cust-telnet protocol tcp src-port 1-65535 dst-port 23000-23000
set service cust-telnet timeout 30
save
NOTA:
El valor del tiempo de espera se expresa en minutos. Si no se establece

expresamente, el valor del tiempo de espera de un servicio personalizado es de
180 minutos. Si no desea que un servicio caduque al cumplirse su tiempo de
espera, introduzca never.
Modificar un servicio personalizado

En este ejemplo modificar el servicio personalizado cust-telnet cambiando el
rango de puertos de destino a 23230-23230.
126
Servicios
Utilice el comando set service nombre_del_servicio clear para eliminar la definicin

de un servicio personalizado sin eliminar el servicio del libro de servicios:
WebUI
Objects > Services > Custom > Edit (para cust-telnet): Introduzca los
Destination Port Low: 23230
Destination Port High: 23230
CLI
set service cust-telnet clear
set service cust-telnet + tcp src-port 1-65535 dst-port 23230-23230
save
Eliminar un servicio personalizado

En este ejemplo eliminar el servicio personalizado cust-telnet.
WebUI
Objects > Services > Custom: Haga clic en Remove en la columna Configure
para cust-telnet.
CLI
unset service cust-telnet
save
Establecer el tiempo de espera de un servicio

El valor de tiempo de espera de servicio que establece para un servicio determina el
tiempo de sesin. Puede establecer el umbral de tiempo de espera para un servicio
personalizado o predefinido, puede utilizar el tiempo de espera predeterminado de
servicio, especificar un tiempo de espera personalizado o no utilizar tiempo de
espera del todo. El comportamiento de tiempo de espera de servicio est en los
dominios de seguridad (vsys)de los sistemas virtuales como el nivel de raz.
Bsqueda y configuracin de tiempo de espera de servicio

Los valores de tiempo de espera de servicio se almacenan en la base de datos de
entrada de servicio y en las tablas de tiempo de espera con base en el puerto de
UDP y TCP vsys correspondientes. Cuando establece un valor de tiempo de espera
de servicio, el dispositivo de seguridad actualiza estas tablas con el nuevo valor.
Tambin existen valores de tiempo de espera predeterminados en la base de datos
de entrada de servicio, los cuales se toman de los servicios predefinidos, puede
establecer un tiempo de espera pero no puede alterar los valores predeterminados.
Los servicios con entradas de reglas mltiples comparten el mismo valor de tiempo
de espera. Si los servicios mltiples comparten el mismo rango de de puerto de
destino y protocolo, todos los servicios comparten el ltimo valor de tiempo de
espera configurado.
Para las entradas de servicio individuales, la bsqueda de tiempo de espera de
servicio se realiza como se muestra a continuacin:
Servicios
127
1. El tiempo de espera especificado en la base de datos de entrada de servicio, si

est configurado.
2. El tiempo de espera predeterminado en la base de datos de entrada de servicio,
si est especificado en el servicio predefinido.
3. La tabla de tiempo de espera predeterminada con base en el protocolo
Figura 61: Tabla de tiempo de espera predeterminado con base en el protocolo
Protocolo
Tiempo de espera
predeterminado (minutos)
TCP
30
UDP
ICMP
OSPF
Otros
30
Para los grupos de servicio, incluso los grupos ocultos creados en configuraciones
de directivas de varias celdas y para el servicio predefinido ANY (si no est
establecido el tiempo de espera), la bsqueda de tiempo de espera de servicio se
realiza como se muestra a continuacin:
1. La tabla de tiempo de espera con base en puerto UDP y TCP de vsys, si est
establecido el tiempo de espera.
2. La tabla de tiempo de espera predeterminada con base en el protocolo
Contingencias
Cuando se establecen los tiempos de espera, est al tanto de lo siguiente:
Si un servicio contiene varias entradas de regla de servicio, todas las entradas

de reglas comparten el mismo tiempo de espera. La tabla de tiempo de espera
se actualice para cada entrada de regla que concuerda con el protocolo (para
UDP y TCP, otros protocolos utilizan el predeterminado). Necesita definir el
tiempo de espera de servicio nicamente una vez. Por ejemplo, si crea un
servicio con dos reglas, los siguientes comandos establecern el tiempo de
espera a 20 minutos para ambas reglas:
set service test protocol tcp dst-port 1035-1035 timeout 20
set service test + udp src-port 1-65535 dst-port 1111-1111
Si se configuran varios servicios con el mismo protocolo y se superposicionan

los puertos de destino, el tiempo de espera de servicio ms recientemente
configurado sobrescribe los otros en la tabla con base en puertos. Por ejemplo:
set service ftp-1 protocol tcp src 0-65535 dst 2121-2121 timeout 10
set service telnet-1 protocol tcp src 0-65535 dst 2100-2148 timeout 20
Con esta configuracin, el dispositivo de seguridad aplica el tiempo de espera

de 20 minutos para el puerto de destino 2121 en un grupo de servicio, ya que
los nmeros de puerto de destino para telnet-1 (2100-2148) superponen
aquellos para ftp-1 (2121) y usted defini telnet-1 despus de definir ftp-1.
128
Servicios
Para modificar un tiempo de espera de servicio cuando varios servicios utilizan

el mismo protocolo y un rango de puerto de destino superpuesto, debe
desactivar el servicio y restablecerlo con el nuevo valor de tiempo de espera.
Esto se debe a que, durante el reinicio, los servicios se cargaron de acuerdo con
el tiempo de creacin, no con el tiempo de modificacin.
Para evitar la aplicacin no intencionada del tiempo de espera incorrecto a un
servicio, no cree servicios con nmeros de puerto de destino superpuestos.
Si desactiva un tiempo de espera de servicio, se utiliza el tiempo de espera con

base en el protocolo predeterminado en la base de datos de entradas de
servicio y los valores de tiempo de espera tanto en las tablas de tiempo de
espera con base en puerto y de entrada de servicio se actualizan con el valor
predeterminado.
Si el servicio modificado tiene puertos de destino superpuestos con otros
servicios, es posible que el tiempo de espera con base en el protocolo
predeterminado no sea el valor deseado. En ese caso, reinicie el dispositivo de
seguridad o establezca el tiempo de entrega de servicio de nuevo para que el
tiempo de espera deseado tenga vigencia.
Cuando modifica un servicio predefinido y lo reinicia, es posible que el servicio

modificado no sea el ltimo en la configuracin. Esto se debe a que los
servicios predefinidos se cargaron antes que los servicios personalizados y
cualquier cambio realizado a un servicio personalizado, incluso si se hubiera
realizado anteriormente, mostrar como ltimo el cambio de servicio
predefinido cuando reinicialice.
Por ejemplo, si crea el siguiente servicio:
set service my_service protocol tcp dst-port 179-179 timeout 60
y posteriormente modifica el tiempo de espera del servicio predefinido BGP

como se muestra a continuacin:
set service bgp timeout 75
el servicio BGP utilizar el valor de tiempo de espera de 75 minutos, ya que

ahora est escrito en la base de datos de la entrada de servicio. Pero el tiempo
de espera para el puerto 179, el puerto que utiliza BGP, tambin se cambi a 75
en la tabla de tiempo de espera con base en el puerto de TCP. Despus de
reiniciar, el servicio de BGP continuar con el uso del tiempo de espera de 75
minutos, como un servicio individual, lo obtiene de la base de datos de entrada
de servicio. Pero el tiempo de espera en la tabla con base en el puerto TCP para
el puerto 179 ser ahora de 60. Puede verificar esto al ingresar el comando get
service bgp.
Esto no tiene efecto en los servicios individuales. Pero si agrega BGP o
my_service a un grupo de servicios, el valor del tiempo de espera de 60
minutos se utilizar para el puerto de destino 179. Esto se debe a que el
tiempo de espera del grupo de servicio se toma de la tabla del tiempo de espera
con base en el puerto, si uno est establecido.
Para asegurar la prediccin, cuando modifica un tiempo de espera de servicio
predefinido, puede crear un servicio similar, por ejemplo:
set service my-bgp protocol tcp dst-port 179-179 timeout 75
Servicios
129
Ejemplo
En el siguiente ejemplo cambiar el umbral del tiempo de espera para el
servicio predefinido FTP a 75 minutos:
WebUI
Objects > Services > Predefined > Edit (FTP): Introduzca los siguientes datos
y haga clic en OK:
CLI
set service FTP timeout 75
save
Definir un Servicio de protocolo de mensaje de control de Internet personalizado

ScreenOS es compatible con el protocolo de mensajes de control de Internet (ICMP)
y admite diversos mensajes ICMP, como los servicios predefinidos o personalizados.
Al configurar un servicio ICMP personalizado, deber definir su tipo y cdigo.
Existen diversos tipos de mensajes ICMP. Por ejemplo:
tipo 0 = mensaje de peticin de eco (Echo Request)
tipo 3 = mensaje de destino inalcanzable (Destination Unreachable)
NOTA:
Para obtener ms informacin sobre los tipos y cdigos de ICMP, consulte

RFC 792, Internet Control Message Protocol.
Los tipos de mensajes ICMP tambin pueden tener un cdigo de mensaje. El cdigo
proporciona informacin ms especfica sobre el mensaje, como se muestra en
Tabla 14.
Tabla 14: Descripciones de mensaje
Tipo de mensaje
Cdigo de mensaje
5 = Reenviar (Redirect)
0 = Reenva el datagrama de la red (o subred)

1 = Reenva el datagrama del host
2 = Reenva el datagrama del tipo de servicio y red
3 = Reenva el datagrama del tipo de servicio y host
11 = Cdigos de tiempo
excedido (Time Exceeded)
0 = Tiempo de vida excedido en trnsito (Time to Live

exceeded in Transit)
1 = Tiempo de reensamblaje de fragmentos excedido
(Fragment Reassembly Time Exceeded)
ScreenOS admite cualquier tipo o cdigo dentro del rango 0-255.
130
Servicios
En este ejemplo definir un servicio personalizado denominado host-unreachable

que utilizar ICMP como protocolo de transporte. El tipo es 3 (correspondiente a
Destination Unreachable) y el cdigo es 1 (Host Unreachable). Establecer el
valor del tiempo de espera en 2 minutos.
WebUI
Objects > Services > Custom: Introduzca los siguientes datos y haga clic en
OK:
Service Name: host-unreachable
Transport Protocol: ICMP (seleccione)
ICMP Type: 3
ICMP Code: 1
CLI
set service host-unreachable protocol icmp type 5 code 0
set service host-unreachable timeout 2
save
Puerta de enlace "Remote Shell" en la capa de aplicacin

La puerta de enlace Remote Shell en la capa de aplicacin (RSH ALG) permite a
los usuarios autenticados ejecutar comandos shell en hosts remotos. Los
dispositivos Juniper Networks admiten el servicio RSH en los modos Transparent
(L2), Route (L3) y NAT, pero los dispositivos no admiten la traduccin de puertos en
el trfico RSH.
Sun Remote Procedure Call Application Layer Gateway

La llamada de procedimiento remoto de Sun, tambin conocido como Open
Network Computing Remote Procedure (ONC RPC), permite que un programa que
se est ejecutando en un equipo ejecutar procedimientos de un programa que se
est ejecutando en otro equipo. Debido al gran nmero de servicios RPC y a la
necesidad de realizar difusiones broadcast, la direccin de transporte de un
servicio RPC se negocia dinmicamente basndose en el nmero de programa y
nmero de versin del servicio. Hay definidos varios protocolos para asignar el
nmero de programa y el nmero de versin de RPC a una direccin de transporte.
Los dispositivos de seguridad de Juniper Networks admiten Sun RPC como servicio
predefinido, permitiendo y denegando el trfico basndose en una directiva que
usted configure. La puerta de enlace de la capa de aplicacin (ALG) proporciona la
funcionalidad necesaria para que los dispositivos de seguridad puedan manejar el
mecanismo dinmico de negociacin de direcciones de transporte de Sun RPC y
para asegurar el cumplimiento de las directivas de pared de fuego basadas en el
nmero de programa. Se puede definir una directiva de cortafuegos para permitir o
denegar todas las peticiones RPC, o bien para permitir o denegar determinados
nmeros de programa. ALG tambin admite el modo Route y NAT para las
peticiones entrantes y salientes.
Situacin tpica de llamadas RPC

Cuando un cliente llama a un servicio remoto, necesita encontrar la direccin de
transporte del servicio, que en el caso de TCP/UDP es un nmero de puerto. Un
procedimiento tpico para este caso es el siguiente:
Servicios
131
1. El cliente enva el mensaje GETPORT al servicio RPCBIND del equipo remoto. El

mensaje GETPORT contiene los nmeros de programa, versin y
procedimiento del servicio remoto que desea ejecutar.
2. El servicio RPCBIND responde con un nmero de puerto.
3. El cliente llama al servicio remoto usando el nmero de puerto devuelto.
4. El servicio remoto responde al cliente.
Un cliente tambin puede utilizar el mensaje CALLIT para llamar al servicio remoto
directamente sin conocer el nmero de puerto del servicio. En este caso, el
procedimiento es el siguiente:
1. El cliente enva el mensaje CALLIT al servicio RPCBIND del equipo remoto. El
mensaje CALLIT contiene los nmeros de programa, versin y procedimiento
del servicio remoto que desea ejecutar.
2. RPCBIND llama al servicio para el cliente.
3. RCPBIND responde al cliente si la llamada se ha realizado con xito. La
respuesta contiene el resultado de la llamada y el nmero de puerto del
servicio.
Personalizar los Servicios Sun RPC

Dado que los servicios Sun RPC utilizan puertos negociados dinmicamente, no se
pueden utilizar objetos de servicios convencionales basndose en puertos TCP/UDP
fijos para autorizarlos en la directiva de seguridad. Para ello es necesario crear
objetos sun rpc service utilizando nmeros de programa. Por ejemplo, NFS utiliza
dos nmeros de programa: 100003 y 100227. Los puertos TCP/UDP
correspondientes son dinmicos. Para permitir los nmeros de programa, cree un
objeto de servicio sun-rpc-nfs que contenga estos dos nmeros. El ALG asignar los
nmeros de programa a puertos TCP/UDP negociados dinmicamente y permitir o
denegar el servicio basndose en una directiva que usted configure.
En este ejemplo, crear un objeto de servicio denominado my-sunrpc-nfs para
utilizar Sun RPC Network File System, identificado por dos identificadores de
programa: 100003 y 100227.
WebUI
Objects > Services > Sun RPC Services > New: Introduzca los siguientes
datos y haga clic en Apply:
Service Name: my-sunrpc-nfs
Service Timeout: (seleccione)
Program ID Low: 100003
Program ID High: 100003
Program ID Low: 100227
Program ID High: 100227
CLI
set service my-sunrpc-nfs protocol sun-rpc program 100003-100003
set service my-sunrpc-nfs + sun-rpc program 100227-100227
save
132
Servicios
Personalizar Microsoft Remote Procedure Call Application Layer Gateway

Microsoft Remote Procedure Call (MS RPC) es la implementacin de Microsoft del
RPC del entorno de computacin distribuida (DCE). Como Sun RPC (consulte Sun
Remote Procedure Call Application Layer Gateway en la pgina 131), MS RPC
permite que un programa que se est ejecutando en un equipo pueda ejecutar
procedimientos de un programa que se est ejecutando en otro equipo. Debido al
gran nmero de servicios RPC y a la necesidad de realizar difusiones broadcast, la
direccin de transporte de un servicio RPC se negocia dinmicamente basndose
en el identificador universal nico (Universal Unique IDentifier o UUID). En
ScreenOS, el protocolo de asignacin Endpoint Mapper est definido para asignar el
UUID especfico a una direccin de transporte.
Los dispositivos de seguridad de Juniper Networks admiten MS RPC como servicio
predefinido, permitiendo y denegando el trfico basndose en una directiva que
usted configure. ALG proporciona la funcionalidad necesaria para que los
dispositivos de seguridad puedan manejar el mecanismo de negociacin dinmica
de direcciones de transporte de MS RPC y garantizar el cumplimiento de las
directivas de cortafuegos basadas en UUID. Se puede definir una directiva de pared
de fuego para permitir o denegar todas las peticiones RPC, o bien para permitir o
denegar determinados nmeros de UUID. ALG tambin admite el modo Route y
NAT para las peticiones entrantes y salientes.
Dado que los servicios MS RPC utilizan puertos negociados dinmicamente, no se
pueden utilizar objetos de servicios convencionales basndose en puertos TCP/UDP
fijos para autorizarlos en la directiva de seguridad. En lugar de ello, deben crearse
objetos de servicios MS RPC utilizando UUID. El servicio MS Exchange Info Store,
por ejemplo, utiliza los cuatro UUID siguientes:
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
1453c42c-0fa6-11d2-a910-00c04f990f3b
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
Los puertos TCP/UDP correspondientes son dinmicos. Para permitirlos, cree un

objeto de servicio ms-exchange-info-store del servicio que contenga estos cuatro
UUIDs. Basndose en estos cuatro UUID, el ALG asignar los nmeros de programa
a puertos TCP/UDP negociados dinmicamente y permitir o denegar el servicio
basndose en una directiva que usted configure.
En este ejemplo, crear un objeto de servicio denominado my-ex-info-store que
incluir los UUIDs del servicio Info Store de MS Exchange.
WebUI
Objects > Services > MS RPC: Introduzca los siguientes datos y haga clic en
Apply:
Service Name: my-ex-info-store
UUID: 0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
UUID: 1453c42c-0fa6-11d2-a910-00c04f990f3b
UUID: 10f24e8e-0fa6-11d2-a910-00c04f990f3b
UUID: 1544f5e0-613c-11d1-93df-00c04fd7bd09
Servicios
133
CLI
set service my-ex-info-store protocol ms-rpc uuid
0e4a0156-dd5d-11d2-8c2f-00c04fb6bcde
set service my-ex-info-store + ms-rpc uuid
1453c42c-0fa6-11d2-a910-00c04f990f3b
10f24e8e-0fa6-11d2-a910-00c04f990f3b
1544f5e0-613c-11d1-93df-00c04fd7bd09
save
La Puerta de enlace de la capa de aplicacin del Protocolo de secuencia en tiempo real

El Protocolo de secuencia en tiempo real (RTSP) es un protocolo a nivel de
aplicacin que permite controlar la entrega de una o varias secuencias multimedia
sincronizadas, tales como audio y vdeo. Aunque RTSP es capaz de suministrar
secuencias de datos por s mismo interpolando las secuencias de medios continuos
con la secuencia de control, se suele utilizar ms como control remoto de red para
servidores multimedia. El protocolo fue diseado como medio para seleccionar
canales de entrega, como UDP, multicast UDP y TCP, as como para seleccionar el
mecanismo de entrega basndose en el protocolo RTP (Real Time Protocol). RTSP
tambin puede utilizar el protocolo de descripcin de sesin (SDP) como medios
para proporcionar informacin al cliente para el control agregado de una
presentacin compuesta por secuencias de unos o varios servidores y el control no
agregado de una presentacin compuesta por mltiples secuencias procedentes de
un solo servidor. Los orgenes de datos pueden ser suministrados en directo o clips
almacenados.
Los dispositivos de seguridad de Juniper Networks admiten RTSP como servicio y
permiten o deniegan el trfico RTSP basndose en una directiva que usted
configure. ALG es necesario porque RTSP utiliza nmeros de puerto asignados
dinmicamente que se incluyan en los datos del paquete durante el establecimiento
de la conexin de control. ALG realiza el seguimiento de los nmeros de puerto
asignados dinmicamente y abre los correspondientes ojos de aguja. En el modo
NAT, ALG traduce los puertos y direcciones IP si fuera necesario. Los dispositivos de
seguridad RTSP en el modo de ruta, modo transparente y tanto en el modo NAT con
base en directivas como en interfaces.
La Figura 62 en la pgina 135 diagrama una sesin de RTSP tpica. El cliente inicia
una sesin (por ejemplo, cuando el usuario hace clic en el botn de reproduccin de
RealPlayer), establece una conexin TCP al servidor RTSP en el puerto 554 y enva
el mensaje OPTIONS (los mensajes tambin se denominan mtodos) para descubrir
qu funciones de audio y vdeo soporta el servidor. El servidor responde al mensaje
OPTIONS especificando el nombre y la versin del servidor, as como un
identificador de sesin, por ejemplo 24256-1. (Para obtener ms informacin sobre
mtodos, consulte SIP Request Methods on page 14 y RFC 2326, seccin 11).
A continuacin, el cliente enva el mensaje DESCRIBE con la URL del archivo
multimedia que desea. El servidor responde al mensaje DESCRIBE con una
descripcin del medio utilizando el formato SDP. Seguidamente, el cliente enva el
mensaje SETUP, que especifica los mecanismos de transporte de secuencias de
medios aceptables para el cliente, por ejemplo RTP/RTCP o RDT, y los puertos en los
que recibir los medios. Con NAT, el ALG RTSP supervisa estos puertos y los traduce
cuando sea necesario. El servidor responde al mtodo SETUP seleccionando uno de
134
Servicios
los protocolos de transporte, lo que pone de acuerdo al cliente y al servidor en

cuanto al mecanismo para el transporte de los medios. A continuacin, el cliente
enva el mtodo PLAY y el servidor comienza a enviar la secuencia multimedia al
cliente.
Figura 62: Sesin de RTSP tpica
Cliente de RealPlayer
Puerto 3408
Dispositivo de seguridad
Servidor RealMedia
Puerto 554
Mtodos de peticin RTSP

La tabla siguiente enumera los mtodos que se pueden aplicar a un recurso (objeto
multimedia), la direccin o direcciones de flujo de la informacin y si el mtodo es
requerido, recomendado u opcional. Por presentacin se entiende informacin tal
como las direcciones de red, la codificacin y el contenido de un conjunto
compuesto por una o varias secuencias presentadas al cliente como provisin de
medios completa. Una secuencia es una instancia de medios nica, por ejemplo de
audio o de vdeo, as como todos los paquetes creados por un origen durante la
sesin.
Servicios
135
Tabla 15: Mtodos de peticin RTSP

Mtodo
Sentido
Objeto
Requisito
OPTIONS
Cliente a servidor
Presentacin, secuencia
Cliente a servidor
requerido
Servidor a cliente
Servidor a cliente
opcional
DESCRIBE
Cliente a servidor
Recomendado
ANNOUNCE
Cliente a servidor
Opcional
Servidor a cliente
SETUP
Cliente a servidor
Secuencia
Requerido
GET_PARAMETER
Cliente a servidor
Opcional
Opcional
Servidor a cliente
SET_PARAMETER
Cliente a servidor
Servidor a cliente
PLAY
Cliente a servidor
Requerido
PAUSE
Cliente a servidor
Recomendado
RECORD
Cliente a servidor
Opcional
REDIRECT
Servidor a cliente
Opcional
TEARDOWN
Cliente a servidor
Requerido
Definicin de los mtodos:
136
Servicios
OPTIONS: El cliente consulta al servidor qu caractersticas de audio o vdeo

admite y otros datos como el nombre y la versin del servidor y la
identificacin de la sesin.
DESCRIBE: Para el intercambio de los datos de inicializacin de medios, como

velocidad del reloj, tablas de colores y cualquier informacin independiente del
transporte que el cliente pueda necesitar para reproducir la secuencia de
medios. Generalmente, el cliente enva la URL del archivo que est solicitando y
el servidor responde con una descripcin del medio en formato SDP.
ANNOUNCE: El cliente utiliza este mtodo para publicar una descripcin de la

presentacin o del objeto multimedia identificado por la URL solicitada. El
servidor utiliza este mtodo para actualizar la descripcin de la sesin en
tiempo real.
SETUP: El cliente especifica los mecanismos de transporte aceptables, como los

puertos en los que recibir la secuencia de medios y el protocolo de transporte.
GET_PARAMETER: Consulta el valor de una presentacin o el parmetro de la

secuencia especificado en URL. Este mtodo se puede utilizar sin cuerpo de
entidad para verificar la presencia del cliente o del servidor. Para verificar si el
cliente o servidor est vivo tambin se puede utilizar el comando ping.
SET_PARAMETER: El cliente utiliza este mtodo para establecer el valor de un

parmetro de la presentacin o secuencia especificado por el URI. Por
cuestiones relacionadas con la pared de fuego, este mtodo no se puede utilizar
para establecer parmetros de transporte.
PLAY: Ordena al servidor que comience a enviar datos usando el mecanismo

especificado en SETUP. El cliente no enviar peticiones PLAY hasta que todas
las peticiones SETUP sean correctas. El servidor encola las peticiones PLAY por
orden y retrasan la ejecucin de nuevas peticiones PLAY hasta que se haya
completado una peticin PLAY activa. Las peticiones PLAY pueden o no
contener un rango especificado. El rango puede contener un parmetro de
tiempo, expresado en UTC (hora universal coordinada), para comenzar la
reproduccin, que tambin se puede utilizar para sincronizar secuencias
procedentes de diversos orgenes.
PAUSE: Detiene temporalmente la transmisin de una presentacin activa. Si la

URL solicitada especifica una secuencia particular, por ejemplo de audio, esto
equivale a silenciarla. La sincronizacin de pistas se mantiene cuando al
reanudar la reproduccin o grabacin, aunque los servidores pueden cerrar la
sesin si PAUSE corresponde a la duracin especificada en el parmetro de
tiempo de espera en SETUP. Una peticin PAUSA descarta todas las peticiones
PLAY existentes en la cola.
RECORD: Comienza a grabar el rango de medios definido en la descripcin de

la presentacin. Con una marca de hora UTC se indican las horas de comienzo
y de final, de lo contrario el servidor utilizar las horas de comienzo y de final
de la descripcin de la presentacin.
REDIRECT: Informa al cliente que debe conectarse a otro servidor; tambin

contiene tanto su informacin de ubicacin como, posiblemente, un parmetro
de rango de esa nueva URL. Para seguir recibiendo medios para este URI, el
cliente debe generar una peticin TEARDOWN para la sesin actual y un SETUP
para la nueva sesin.
TEARDOWN: Detiene la entrega de la secuencia del URI dado y libera los

recursos asociados a la misma. Salvo que todos los parmetros de transporte
sean definidos por la descripcin de la sesin, debe publicarse una peticin
SETUP para que la sesin pueda volver a reproducirse.
Cdigos de estado de RTSP

RTSP utiliza cdigos de estado para proporcionar informacin sobre peticiones del
cliente y del servidor. Los cdigos de estado incluyen un cdigo de resultado de tres
cifras interpretable por la mquina, as como una frase descriptiva del motivo. El
cliente puede elegir si desea visualizar la frase del motivo. Los cdigos de estado
estn clasificados de la siguiente manera:
Informativo (100 a 199): peticin recibida y en proceso
xito (200 a 299): accin recibida correctamente, comprendida y aceptada
Redireccin (300 a 399): se requiere una accin adicional para completar la

peticin
Error del cliente (400 a 499): la peticin es sintcticamente incorrecta y no se

puede llevar a cabo
Error del servidor (500 a 599): el servidor no pudo cumplir una peticin
aparentemente vlida
Servicios
137
La tabla siguiente enumera todos los cdigos de estado definidos para RTSP 1.0 y
las frases de motivo recomendadas. Las frases de motivo se pueden revisar o
redefinir sin que ello afecte al funcionamiento del protocolo.
Tabla 16: Cdigos de estado de RTSP 1.0
Cdigo de
estado
NOTA:
138
Servicios
Frase del motivo
Cdigo de
estado
Frase del motivo
100
Continue
414
Request-URI Too Large
200
OK
415
Unsupported Media Type
201
Created
451
Unsupported Media Type
250
Low on Storage Space
452
Conference Not Found
300
Multiple Choices
453
Not Enough Bandwidth
301
Moved Permanently
454
Session Not Found
303
See Other
455
Method Not Valid in This State
304
Not Modified
456
Header Field Not Valid for Resource
305
Use Proxy
457
Invalid Range
400
Bad Request
458
Parameter is Read-Only
401
Unauthorized
459
Aggregate operation not allowed
402
Payment Required
460
Only aggregate operation allowed
403
Forbidden
461
Unsupported transport
404
Not Found
462
Destination unreachable
405
Method Not Allowed
500
Internal Server Error
406
Not Acceptable
501
Not Implemented
407
Proxy Authentication
Required
502
Bad Gateway
408
Request Time-out
503
Service Unavailable
410
Gone
504
Gateway Time-out
411
Length Required
505
RTSP Version not supported
412
Precondition Failed
551
Option not supported
413
Request Entity Too Large
Para ver las definiciones completas de los cdigos de estado, consulte RFC 2326,
Real Time Streaming Protocol (RTSP).
Configurar un servidor de medios en un dominio privado

En este ejemplo, el servidor de medios se encuentra en la zona Trust y el cliente en
la zona Untrust. Usted decide colocar una MIP en la interfaz ethernet3 hacia el
servidor de medios en la zona Trust y luego crear una directiva para permitir que el
trfico de RTSP pase desde el cliente en la zona Untrust al servidor de medios en la
zona Trust.
Figura 63: Dominio privado RTSP
ethernet1
10.1.1.1
ethernet3
1.1.1.1
Zona Trust
Zona Untrust
LAN
Dispositivo virtual
MIP en ethernet3
1.1.1.3 -> 10.1.1.3
Servidor de medios
10.1.1.3
LAN
Client1.1.1.5
WebUI
1.
Interfaces
haga clic en Apply:
Zone Name: Trust
Manage IP: 10.1.1.2
haga clic en Apply:
Zone Name: Untrust
Manage IP: 1.1.1.2
2.
Direcciones
en OK:
Address Name: media_server
Zone: Trust
en OK:
Address Name: client
Zone: Untrust
Servicios
139
3.
MIP
Network > Interfaces > Edit (para ethernet3) > MIP > New: Introduzca los
Mapped IP: 1.1.1.3
Host IP Address: 10.1.1.5
4.
Directiva
Directivas > (De: Untrust, A: Trust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), cliente
Address Book Entry: (seleccione), MIP(1.1.1.3)
Service: RTSP
Action: Permit
CLI
1.
Interfaces
set
set
set
set
2.
interface ethernet1 trust

interface ethernet1 ip 10.1.1.1
interface ethernet3 untrust
interface ethernet3 ip 1.1.1.1
Direcciones
set address trust media_server 10.1.1.3/24

set address untrust client 1.1.1.5
3.
MIP
set interface ethernet3 mip (1.1.1.3) host 10.1.1.3

4.
Directiva
set policy from untrust to trust client mip(1.1.1.3) rtsp permit

save
Configurar un servidor de medios en un dominio pblico

En este ejemplo, el servidor de medios se encuentra en la zona Untrust y el cliente
en la zona Trust. Usted colocar un conjunto de DIP en la interfaz ethernet3 para
ejecutar NAT cuando el servidor de medios responda al cliente desde la zona
Untrust y luego crear una directiva para permitir que el trfico RTSP fluya desde la
zona Trust a la zona Untrust.
Figura 64: Dominio pblico RTSP
Zona Trust
LAN
Cliente
10.1.1.3
140
Servicios
ethernet3
1.1.1.1
ethernet1
10.1.1.1
Rango DIP
en ethernet3
1.1.1.5 a 1.1.1.50
Zona Untrust
LAN
Servidor de medios
1.1.1.3
WebUI
1.
Interface
haga clic en Apply:
Zone Name: Trust
Manage IP: 10.1.1.2
haga clic en Apply:
Zone Name: Untrust
Manage IP: 1.1.1.2
2.
Direcciones
en OK:
Address Name: client
Zone: Trust
en OK:
Address Name: media_server
Zone: Untrust
3.
Rango DIP
Network > Interfaces > Edit (para ethernet3) > DIP > New: Introduzca los
ID: 5
IP Address Range: (seleccione) 1.1.1.5 ~ 1.1.1.50
Port Translation: (seleccione)
4.
Directiva
Directivas > (De: Trust, A: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry (seleccione): client
Address Book Entry (seleccione): media_server
Service: RTSP
Action: Permit
> Advanced: Introduzca los siguientes datos y haga clic en OK:
Servicios
141
NAT:
Source Translation: (seleccione)
(DIP on): 5 (1.1.1.5-1.1.1.50)/port-xlate
CLI
1.
Interface

set interface ethernet1 ip 10.1.1.1
2.
Direcciones
set address trust client ip 10.1.1.3/24

set address untrust media_server ip 1.1.1.3/24
3.
Rango DIP
set interface ethernet3 dip 5 1.1.5 1.1.1.50

4.
Directiva
set policy from trust to untrust client media_server rtsp nat dip 5 permit
save
Grupos de servicios
Un grupo de servicios es un conjunto de servicios agrupados bajo un nombre. Una
vez creado un grupo que contenga varios servicios, se pueden aplicar servicios a las
directivas a nivel de grupo, simplificando la administracin.
La opcin de grupo de servicios de ScreenOS tiene las siguientes caractersticas:
Se puede hacer referencia a cada entrada del libro de servicios en uno o ms

grupos de servicios.
Cada grupo de servicios puede contener entradas predefinidas y entradas

definidas por el usuario en el libro de servicios.
Los grupos de servicios estn sujetos a las siguientes limitaciones:
142
Servicios
Los grupos de servicios no pueden llamarse igual que los servicios; por ejemplo,
si existe un servicio llamado FTP, no puede existir un grupo de servicios con
el mismo nombre.
Si en una directiva se hace referencia a un grupo de servicios, ste se puede

editar, pero para eliminarlo ser necesario eliminar primero la referencia en la
directiva.
Si se elimina una entrada personalizada del libro de servicios, la entrada

tambin ser eliminada en todos los grupos que contengan referencias a la
misma.
Un grupo de servicios no puede contener a otro grupo de servicios como

miembro.
El trmino ANY de servicio integral no se puede agregar a grupos.
Un servicio slo puede pertenecer a un grupo a la vez.
Crear un Grupo de servicios

En este ejemplo crear un grupo de servicios llamado grp1 que incluir los
servicios IKE, FTP y LDAP.
WebUI
Objects > Services > Groups > New: Introduzca el siguiente nombre de
grupo, mueva los siguientes servicios y haga clic en OK:
Group Name: grp1
Seleccione IKE y utilice el botn << para mover el servicio de la columna

Seleccione FTP y utilice el botn << para mover el servicio de la columna
Seleccione LDAP y utilice el botn << para mover el servicio de la
CLI
set group service
set group service
set group service
set group service
save
NOTA:
grp1
grp1 add ike
grp1 add ftp
grp1 add ldap
Si intenta agregar un servicio a un grupo de servicios inexistente, el dispositivo de

seguridad crear ese grupo. Asegrese tambin de que los grupos que contengan
referencias a otros grupos no estn autoincluidos en la lista de referencias.
Modificar un grupo de servicios

En este ejemplo cambiar los miembros del grupo de servicios llamado grp1 que
cre en el Crear un Grupo de servicios en la pgina 143. Eliminar los servicios
IKE, FTP y LDAP, y agregar HTTP, FINGER e IMAP.
WebUI
Objects > Services > Groups > Edit (para grp1): Mueva los siguientes
servicios, luego haga clic en OK:
Seleccione IKE y utilice el botn >> para mover el servicio de la columna
Group Members a la columna Available Members.
Seleccione FTP y utilice el botn >> para mover el servicio de la columna
Group Members a la columna Available Members.
Seleccione LDAP y utilice el botn >> para mover el servicio de la
columna Group Members a la columna Available Members.
Seleccione HTTP y utilice el botn << para mover el servicio de la
Seleccione Finger y utilice el botn << para mover el servicio de la
Servicios
143
Seleccione IMAP y utilice el botn << para mover el servicio de la

CLI
unset group service grp1 clear
set group service grp1 add http
set group service grp1 add finger
set group service grp1 add imap
save
Eliminar un grupo de servicios

En este ejemplo eliminar un grupo de servicios denominado grp1.
WebUI
Objects > Services > Groups: Haga clic en Remove (para grp1).
CLI
unset group service grp1
save
NOTA:
El dispositivo de seguridad no elimina automticamente un grupo del que se

hayan eliminado todos los miembros.
Grupo de IP dinmico
Un grupo de IP dinmico (DIP) es un rango de direcciones IP del cual el dispositivo
de seguridad toma direcciones de forma dinmica o determinista para aplicar la
traduccin de direcciones de red a la direccin IP de origen (NAT-src) en los
encabezados de paquetes IP. (Para obtener ms informacin sobre la traduccin
determinista de direcciones de origen, consulte NAT-Src desde un conjunto de DIP
con desplazamiento de direcciones en la pgina 8-22). Si el rango de direcciones
de un rango DIP pertenece a la misma subred que la direccin IP de la interfaz, el
conjunto debe excluir la direccin IP de la interfaz, las direcciones IP del enrutador
y cualquier direccin IP asignada (MIP) o virtual (VIP) que pueda haber en esa
misma subred. Si el rango de direcciones se encuentra en la subred de una interfaz
extendida, el conjunto debe excluir la direccin IP extendida de la interfaz.
Existen tres clases de interfaces que se pueden enlazar a rangos de IP dinmico
(DIP): interfaces fsicas y subinterfaces para el trfico de red y VPN, e interfaces de
tnel slo para tneles VPN.
144
Grupo de IP dinmico
Figura 65: Interfaces de DIP

A la zona DMZ
A la zona Untrust
Tneles VPN
A la zona Trust
Pared de fuego
10.10.1.2
210.10.1.2
220.10.1.2
10.20.1.2
10.30.1.2
10.10.1.20
210.10.1.20
220.10.1.20
10.20.1.20
10.30.1.20
ethernet1
ethernet2
ethernet3
Tunnel
Tunnel
10.10.1.1/24
210.10.1.1/24
220.10.1.1/24
10.20.1.1/24
10.30.1.1/24
Rango DIP
Interfaces
Las interfaces fsicas

conduce a redes o tneles
VPN.
Las interfaces de tnel

solamente conducen a tneles
VPN.
Traduccin de direcciones de puertos

Utilizando la traduccin de direcciones de puertos (PAT), varios hosts pueden
compartir la misma direccin IP, para lo cual el dispositivo de seguridad mantiene
una lista de los nmeros de puerto asignados con el fin de distinguir qu sesin
pertenece a qu host. Con PAT habilitada, puede haber hasta unos 64.500 hosts
compartiendo una misma direccin IP.
Algunas aplicaciones, como la interfaz de usuario extendida para la Interfaz de
usuario extendido NetBIOS (NetBEUI) y el servicio de nombres de Internet de
Windows (WINS), requieren nmeros de puerto especficos y no funcionan
correctamente si se les aplica PAT. Se puede especificar que PAT no se ejecute para
tales aplicaciones (es decir, que se utilice un puerto fijo) al aplicar DIP. Para DIP de
puerto fijo, el dispositivo de seguridad guarda en su tabla de hash la direccin IP
del host original, permitiendo as al dispositivo de seguridad asociar la sesin
correcta a cada host.
Grupo de IP dinmico
145
Crear un rango DIP con PAT

En este ejemplo crear un tnel VPN para que los usuarios locales puedan alcanzar
un servidor FTP en un sitio remoto. Sin embargo, las redes internas de ambos sitios
utilizan el mismo espacio de direcciones privado 10.1.1.0/24. Para solucionar este
problema de solapamiento de direcciones, crear una interfaz de tnel en la zona
Untrust del dispositivo de seguridad local, le asignar la direccin IP 10.10.1.1/24 y
le asociar un conjunto de DIP que contendr un rango de una sola direccin
(10.10.1.2-10.10.1.2) y tendr habilitada la traduccin de direcciones de puertos.
Los administradores del sitio remoto tambin debern crear una interfaz de tnel
con una direccin IP en un espacio de direcciones neutral, tal como 10.20.2.1/24, y
configurar una direccin IP asignada (MIP) a su servidor FTP, como 10.20.2.5 hacia
el host 10.1.1.5.
NOTA:
Este ejemplo incluye solamente la configuracin de la interfaz de tnel y del

conjunto de DIP que la acompaa. Por ver un ejemplo completo con todos los
pasos de configuracin necesarios para este supuesto, consulte Sitios VPN con
direcciones superpuestas en la pgina 5-141.
WebUI
clic en OK:
Tunnel Interface Name: tunnel.1
Zone (VR): Untrust (trust-vr)
Fixed IP: (seleccione)
IP Address / Netmask: 10.10.1.1/24
Network > Interfaces > Edit (para tunnel.1) > DIP > New: Introduzca los
ID: 5
IP Address Range: 10.10.1.2 ~ 10.10.1.2
In the same subnet as the interface IP or its secondary IPs: (seleccione)
NOTA:
Puede utilizar el nmero de identificacin mostrado, que es el siguiente nmero

correlativo disponible, o bien escribir otro nmero.
CLI
set interface tunnel.1 zone untrust-tun
set interface tunnel.1 ip 10.10.1.1/24
set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2
save
146
Grupo de IP dinmico
NOTA:
Dado que PAT est habilitada de forma predeterminada, no existe ningn

argumento para habilitarla. Para crear el mismo conjunto de DIP segn lo definido
anteriormente, pero sin PAT (es decir, con nmeros de puerto fijos), haga lo
siguiente:
(WebUI) Network > Interfaces > Edit (for tunnel.1) > DIP > New: Elimine la
seleccin de la casilla de verificacin de la Traduccin de puerto, luego haga clic
en OK.
(CLI) set interface tunnel.1 dip 5 10.10.1.2 10.10.1.2 fix-port
Modificar un conjunto de DIP

En este ejemplo cambiar el rango de direcciones de un conjunto de DIP existente
(ID 5) de 10.20.1.2 10.20.1.2 a 10.20.1.2 10.20.1.10. Este conjunto est
asociado a tunnel.1. Observe que para cambiar el rango del conjunto de DIP
mediante la interfaz de lnea de comandos (CLI), primero debe eliminar (o
desactivar) el conjunto de DIP existente y crear un nuevo conjunto.
NOTA:
No hay directivas que utilicen este conjunto de DIP en particular. Para que una
directiva utilice un conjunto de DIP, primero debe eliminar la directiva o
modificarla para que no pueda utilizar el conjunto de DIP antes de que usted lo
haya modificado.
WebUI
Network > Interfaces > Edit (for tunnel.1) > DIP > Edit (for ID 5): Introduzca
los siguientes datos y haga clic en OK:
IP Address Range: 10.20.1.2 ~ 10.20.1.10
CLI
unset interface tunnel.1 dip 5
set interface tunnel.1 dip 5 10.20.1.2 10.20.1.10
save
Direcciones DIP sticky

Cuando un host inicia varias sesiones que satisfacen las condiciones de una
directiva que requiere la traduccin de direcciones de red (NAT) y se le asigna una
direccin de un conjunto de DIP con la traduccin de puertos habilitada, el
dispositivo de seguridad asigna una direccin IP de origen distinta a cada sesin. Tal
asignacin de direcciones aleatoria puede resultar problemtica para los servicios
que generan mltiples sesiones que requieren la misma direccin IP de origen para
cada sesin.
NOTA:
Para los rangos DIP que no realizan la traduccin de puertos, el dispositivo de

seguridad asigna una direccin IP a todas las sesiones simultneas del mismo
host.
Grupo de IP dinmico
147
Por ejemplo, es importante tener la misma direccin IP para varias sesiones cuando
se utiliza el cliente AOL Instant Messaging (AIM). Crear una sesin durante el inicio
de su sesin y otra por cada chat. Para que el servidor AIM pueda verificar que un
nuevo chat pertenece a un usuario autenticado, debe comparar la direccin IP de
origen del inicio de sesin con la direccin de la sesin de chat. Si son diferentes
(posiblemente porque hubiesen sido asignadas aleatoriamente desde un conjunto
de DIP durante el proceso NAT), el servidor AIM rechazar la sesin de chat.
Para garantizar que el dispositivo de seguridad asigna la misma direccin IP de un
conjunto de DIP a las diferentes sesiones simultneas de un host, puede habilitar la
caracterstica sticky de la direccin DIP ejecutando el comando CLI set dip sticky.
Usar DIP en otra subred

Si las circunstancias requieren que la direccin IP de origen del trfico saliente por
la pared de fuego sea traducida a una direccin de una subred diferente de la
subred en la que se encuentra la interfaz de salida, puede utilizar la opcin
extendida de la interfaz. Esta opcin permite implantar una segunda direccin IP y
un conjunto de DIP auxiliar en una interfaz de otra subred. Despus se puede
habilitar NAT sobre una base de directivas y especificar para la traduccin el
conjunto de DIP creado en la interfaz extendida.
En este ejemplo, dos sucursales tienen lneas punto a punto con la sede central. La
oficina central les exige utilizar solamente las direcciones IP autorizadas que les ha
asignado. Sin embargo, las oficinas reciben de su proveedor de servicios (ISP)
otras direcciones IP para el trfico de Internet. Para la comunicacin con la oficina
central, utilizar la opcin de interfaz extendida para configurar el dispositivo de
seguridad en cada sucursal de modo que traduzca la direccin IP de origen a la
direccin autorizada en todos los paquetes enviados a la oficina central. Las
direcciones IP autorizadas y asignadas para las sucursales A y B son las siguientes:
Tabla 17: Direcciones IP oficiales autorizadas
Direccin IP asignada (de
ISP)Utilizada para la interfaz
fsica de la zona Untrust
Direccin IP autorizada (de la sede central)

Utilizada para la DIP de la interfaz extendida
de la zona Untrust
Oficina A 195.1.1.1/24
211.10.1.1/24
Oficina B 201.1.1.1/24
211.20.1.1/24
En ambos sitios, los dispositivos de seguridad tienen una zona Trust y una zona
Untrust. Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
trust-vr. Enlazar ethernet1 a la zona Trust y le asignar la direccin IP 10.1.1.1/24.
Enlazar ethernet3 a la zona Untrust y le asignar la direccin IP generada por los
correspondientes ISP: 195.1.1.1/24 para la Oficina A y 201.1.1.1/24 para la Oficina
B. A continuacin, crear una interfaz extendida con un conjunto de DIP que
contendr la direccin IP autorizada en ethernet3:
148
Grupo de IP dinmico
Oficina A: IP de la interfaz extendida 211.10.1.10/24; rango DIP 211.10.1.1

211.10.1.1; PAT habilitada
Oficina B: IP de la interfaz extendida 211.20.1.10/24; rango DIP 211.20.1.1

211.20.1.1; PAT habilitada
Establecer la interfaz de la zona Trust en modo NAT. Utilizar la direccin IP de la

interfaz de la zona Untrust como direccin de origen en todo el trfico saliente,
salvo en el trfico enviado a la sede central. Configurar una directiva para la sede
central que traducir la direccin de origen a una direccin del conjunto de DIP en
la interfaz extendida. (El nmero de identificacin del conjunto de DIP es 5.
Contiene una direccin IP que, mediante la traduccin de direcciones de puertos,
permite gestionar las sesiones de unos 64.500 hosts). La direccin MIP utilizada por
la sede central para el trfico entrante ser 200.1.1.1, que deber introducir como
HQ (oficina central) en la libreta de direcciones de la zona Untrust de cada
dispositivo de seguridad.
Figura 66: DIP bajo otra subred
Sede central
(HQ)
Nota: Las lneas arrendadas conectan las
sucursales A y B directamente a la sede central.
Zona Untrust
200.1.1.1
Zona Untrust
ISP
Lnea punto
a punto
Lnea punto
a punto
Internet
Zona Untrust, ethernet3
El ISP asigna 195.1.1.1/24
(interfaz fsica)
HQ autoriza 211.10.1.1/24
(interfaz extendida)
Puerta de enlace
predeterminada 195.1.1.254
Zona Trust, ethernet1
10.1.1.1/24
NOTA:
ISP
ISP
Oficina A
Zona Trust
Oficina B
Zona Untrust
Zona Untrust, ethernet3

El ISP asigna 201.1.1.1/24
(interfaz fsica)
HQ autoriza 211.20.1.1/24
(interfaz extendida)
Puerta de enlace
predeterminada 201.1.1.254
Zona Trust, ethernet1
10.1.1.1/24
Para poder utilizar una lnea punto a punto, cada ISP debe establecer una ruta para
el trfico destinado al sitio que se encuentra en el extremo de esa lnea. Los ISP
desviarn a Internet cualquier otro trfico que reciban de un dispositivo de
seguridad local.
WebUI (Sucursal A)
1.
Interfaces
haga clic en OK:
Zone Name: Trust
Interface Mode: NAT
haga clic en OK:
Zone Name: Untrust
Grupo de IP dinmico
149
ID: 5
IP Address Range: 211.10.1.1 ~ 211.10.1.1
Extended IP/Netmask: 211.10.1.10/255.255.255.0
2.
Direccin
en OK:
Address Name: HQ
Zone: Untrust
3.
Ruta
Gateway IP address: 195.1.1.254
4.
Directivas
Directivas > (De: Trust, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Service: ANY
Action: Permit
clic en OK:
Source Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
Position at Top: (seleccione)
> Advanced: Escriba lo siguiente y haga clic en Return para establecer las
opciones avanzadas y regresar a la pgina de configuracin bsica:
NAT:
(DIP on): 5 (211.10.1.1-211.10.1.1)/X-late
150
Grupo de IP dinmico
WebUI (Sucursal B)
1.
Interfaces
haga clic en OK:
Zone Name: Trust
Interface Mode: NAT
haga clic en OK:
Zone Name: Untrust
ID: 5
IP Address Range: 211.20.1.1 ~ 211.20.1.1
Extended IP/Netmask: 211.20.1.10/255.255.255.0
2.
Direccin
en OK:
Address Name: HQ
Zone: Untrust
3.
Ruta
4.
Directivas
clic en OK:
Source Address:
Service: ANY
Action: Permit
clic en OK:
Grupo de IP dinmico
151
Source Address:
Address Book Entry: (seleccione), HQ
Service: ANY
Action: Permit
NAT:
DIP On: (seleccione), 5 (211.20.1.1-211.20.1.1)/X-late
CLI (Sucursal A)
1.
Interfaces

set interface ethernet3 rout
set interface ethernet3 ext ip 211.10.1.10 255.255.255.0 dip 5 211.10.1.1
2.
Direccin
set address untrust hq 200.1.1.1/32

3.
Ruta

4.
Directivas

set policy top from trust to untrust any hq any nat src dip 5 permit
save
CLI (Sucursal B)
1.
Interfaces

set interface ethernet3 ext ip 211.20.1.10 255.255.255.0 dip 5 211.20.1.1
2.
Direccin
set address untrust hq 200.1.1.1/32

3.
Ruta

4.
Directivas

set policy top from trust to untrust any hq any nat src dip 5 permit
save
152
Grupo de IP dinmico
Utilizar un DIP en una Interfaz Loopback

Una interfaz loopback es una interfaz lgica que siempre se encuentra en estado
activo mientras el dispositivo en el que reside permanezca encendido. En una
interfaz loopback se puede crear un conjunto de direcciones IP dinmicas (DIP)
accesible por el grupo de interfaces perteneciente al grupo asociado de interfaces
loopback al realizar la traduccin de direcciones de origen. Las direcciones que el
dispositivo de seguridad toma de ese conjunto de DIP se encuentran en la misma
subred que la direccin IP de la interfaz loopback, no en la subred de ninguna de las
interfaces miembro. (Observe que las direcciones del conjunto de DIP no deben
solaparse con la direccin IP de la interfaz ni con ninguna direccin MIP que
tambin se haya definido en la interfaz loopback).
Para obtener ms informacin sobre interfaces loopback, consulte Interfaces de

bucle invertido (loopback) en la pgina 60.
NOTA:
La principal aplicacin de ubicar un conjunto de DIP en una interfaz loopback es

traducir direcciones de origen a la misma direccin o rango de direcciones aunque
diferentes paquetes utilicen diferentes interfaces de salida.
Figura 67: DIP Loopback
Traduccin de direcciones de origen utilizando
un conjunto DIP en una interfaz loopback
IP de origen
1.3.3.2
IP de destino
2.2.2.2
DATOS
ethernet2
1.1.1.1/24
Interfaz loopback
loopback 1
1.3.3.1/30
Sea cual sea la interfaz de

salida, el dispositivo de
seguridad traduce las
direcciones IP de origen a la
direccin del conjunto de DIP
definido en la interfaz
loopback.1.
IP de origen
10.1.1.5
IP de destino
2.2.2.2
ethernet3
1.2.2.1/24
IP de origen
1.3.3.2
IP de destino
2.2.2.2
DATOS
IP de origen
10.1.1.6
IP de destino
2.2.2.2
DATOS
Rango DIP
1.3.3.2 - 1.3.3.2
ethernet1
10.1.1.1/24
DATOS
Host A
10.1.1.5
Host B
10.1.1.6
En este ejemplo, el dispositivo de seguridad recibe las direcciones IP siguientes de

dos interfaces de la zona Untrust desde diferentes proveedores de servicios de
Internet (ISP): ISP-1 e ISP-2:
ethernet2, 1.1.1.1/24, ISP-1
ethernet3, 1.2.2.1/24, ISP-2
Asociar estas interfaces a la zona Untrust y despus les asignar las direcciones IP
indicadas anteriormente. Tambin asociar ethernet1 a la zona Trust y le asignar la
direccin IP 10.1.1.1/24.
Grupo de IP dinmico
153
Desea que el dispositivo de seguridad traduzca la direccin de origen del trfico

saliente de la zona Trust a una oficina remota en la zona Untrust. La direccin
traducida debe ser la misma direccin IP (1.3.3.2), porque la oficina remota tiene
una directiva que permite el trfico entrante solamente de esa direccin IP.
Previamente habr obtenido las direcciones IP pblicas 1.3.3.1 y 1.3.3.2 y habr
notificado a ambos ISP que estar utilizando estas direcciones adems de las
direcciones que ellos asignen al dispositivo.
Configurar una interfaz loopback.1 con la direccin IP 1.3.3.1/30 y un conjunto de
DIP de 1.3.3.2 1.3.3.2 en esa interfaz. El rango DIP tendr la identificacin
nmero 10. Despus har a ethernet1 y ethernet2 miembros del grupo loopback
correspondiente a loopback.1.
Definir una direccin r-office con la direccin IP 2.2.2.2/32 para la oficina
remota. Tambin definir rutas predeterminadas para las interfaces ethernet1 y
ethernet2, que apuntarn a los enrutadores de los proveedores ISP-1 e ISP-2,
respectivamente.
Definir rutas a dos puertas de enlace para que el trfico saliente las utilice. Dado
que no tiene ninguna preferencia por una ruta u otra, no incluir ninguna mtrica
en ninguna de ellas. El trfico saliente podr seguir cualquier ruta.
NOTA:
Para indicar una ruta preferente, incluya mtricas en ambas rutas y asigne a su
ruta preferida una mtrica ms alta, es decir, un valor ms cercano a 1.
Por ltimo, crear una directiva que aplicar la traduccin de direcciones de red de
origen (NAT-src) al trfico saliente hacia la oficina remota. La directiva har
referencia al rango DIP con la identificacin 10.
Figura 68: Directiva de DIP loopback
IP de origen
1.3.3.2
IP de destino
2.2.2.2
r-office
2.2.2.2
DATOS
ISP-1
154
ISP-2
ethernet3, 1.2.2.1/24
puerta de enlace 1.2.2.250
ethernet2, 1.1.1.1/24
gateway 1.1.1.250
El dispositivo de
seguridad traduce
todas las direcciones
IP de origen de los
paquetes destinados
a 2.2.2.2 de 10.1.1.X
a 1.3.3.2,
independientemente
de la interfaz de
salida utilizada.
IP de origen
10.1.1.X
Zona
Untrust
Rango DIP con ID 10

(en Loopback.1)
1.3.3.2 1.3.3.2
ethernet110.1.1.1/24
Modo NAT
Loopback.1
Zona Untrust
1.3.3.1/30
10.1.1.0/24
IP de destino
2.2.2.2
Grupo de IP dinmico
DATOS
Zona
Trust
WebUI
1.
Interfaces
Network > Interfaces > New Loopback IF: Introduzca los siguientes datos y
haga clic en OK:
Interface Name: loopback.1
Zone: Untrust (trust-vr)
haga clic en OK:
As member of loopback group: loopback.1
Zone Name: Trust
Interface Mode: NAT
haga clic en OK:
As member of loopback group: loopback.1
Zone Name: Untrust
haga clic en OK:
Zone Name: Untrust
2.
Rango DIP
Network > Interfaces > Edit (para loopback.1) > DIP > New: Introduzca los
ID: 5
IP Address Range: 1.3.3.2 ~ 1.3.3.2
3.
Direccin
en OK:
Address Name: r-office
Zone: Untrust
Grupo de IP dinmico
155
4.
Rutas
5.
Directiva
clic en OK:
Source Address:
Address Book Entry: (seleccione), r-office
Service: ANY
Action: Permit
NAT:
DIP On: (seleccione), 10 (1.3.3.2-1.3.3.2)/port-xlate
CLI
1.
Interfaces
set interface loopback.1 zone untrust

set interface loopback.1 ip 1.3.3.1/30
set interface ethernet2 loopback-group loopback.1
set interface ethernet3 loopback-group loopback.1
156
Grupo de IP dinmico
2.
Rango DIP
set interface loopback.1 dip 10 1.3.3.2 1.3.3.2

3.
Direccin
set address untrust r-office 2.2.2.2/32

4.
Rutas

5.
Directiva
set policy from trust to untrust any r-office any nat src dip-id 10 permit
save
Crear un grupo de DIP

Cuando usted agrupa dos dispositivos de seguridad en un clster redundante para
proporcionar alta disponibilidad (HA) en una configuracin activa/activa, ambos
dispositivos comparten la misma configuracin y ambos procesan el trfico
simultneamente. Puede presentarse un problema al definir una directiva para
realizar la traduccin de direcciones de red (NAT) si se utiliza un rango de IP
dinmico (DIP) situado en una VSI. Debido a que esa VSI solamente est activa en el
dispositivo de seguridad que acta como maestro (master) del grupo VSD al que
est asociada, ningn trfico enviado al otro dispositivo de seguridad (el que acta
como respaldo de dicho grupo VSD) puede utilizar ese rango DIP y se descarta.
Figura 69: Problemas de DIP con NAT con una VSI
Utilizacin problemtica de un rango DIP en una directiva en un clster NSRP:
set policy name out-nat from trust to untrust any any any nat src dip-id 7 permit
Zona Untrust
VSI de la zona Untrust
ethernet2
1.1.1.1/24
VSD
maestro 0
ethernet3:1
1.1.1.2/24
Dispositivo A
TX/RX
LINK
TX/RX
VSD de
respaldo 0
VSI de la zona Trust
Debido a que el rango DIP se encuentra en la VSI de

la zona Untrust del grupo VSD 1 (cuyo maestro es el
Dispositivo B), el Dispositivo A (respaldo del grupo
VSD 1) descarta el trfico recibido en ethernet1
(10.1.1.1/24) que cumple la directiva out-nat.
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
VSD de
respaldo 1
LINK
Grupo VSD: 1
Grupo VSD: 0
Clster NSRP
LINK
ID de rango DIP
1.1.1.101 1.1.1.150
Dispositivo B
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
VSD
maestro 1
ethernet1:1
10.1.1.2/24
ethernet1
10.1.1.1/24
Zona Trust
Grupo de IP dinmico
157
Para solucionar este problema, cree dos rangos DIP (uno en la VSI de la zona
Untrust por cada grupo VSD) y combine ambos rangos DIP en un grupo de DIP, al
que luego har referencia en la directiva. Cada VSI utiliza su propio conjunto de VSD
incluso aunque en la directiva se especifique el grupo de DIP.
Figura 70: Crear dos rangos DIP en un grupo de DIP
Utilizacin recomendada de un grupo de DIP en una directiva cuando se
encuentra en un clster NSRP:
set policy name out-nat from trust to untrust any any any nat dip-id 9 permit
Zona Untrust
Rango DIP con ID 8
1.1.1.151 210.1.1.200
VSI de la zona Untrust
ID de rango DIP
1.1.1.101 1.1.1.150
ethernet3
1.1.1.1/24
VSD
maestro 0
Clster NSRP
ethernet3:1
1.1.1.2/24
Grupo de DIP 9
Dispositivo A
TX/RX
LINK
TX/RX
LINK
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
VSD de
respaldo 1
Grupo VSD: 1
Grupo VSD: 0
VSD de
respaldo 0
TX/RX
Dispositivo B
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
TX/RX
LINK
VSD
maestro 1
VSI de la zona Trust

ethernet1:1
10.1.1.2/24
ethernet1
10.1.1.1/24
Combinando los rangos DIP situados en ambas VSI
de la zona Untrust (para los grupos VSD 0 y 1) en un
grupo de DIP, ambos Dispositivos A y B pueden
procesar el trfico que cumpla la directiva out-nat, en
la que no se hace referencia a un rango DIP especfico
de interfaz, sino al grupo de DIP compartido.
NOTA:
Zona Trust
Para obtener ms informacin sobre la configuracin de dispositivos de seguridad

para HA, consulte Volumen 11: Alta disponibilidad.
En este ejemplo proporcionar servicios NAT en dos dispositivos de seguridad
(Dispositivos A y B) en un par HA activo/activo.
Crear dos rangos DIP, DIP 5 (1.1.1.20 1.1.1.29) en ethernet3 y DIP 6 (1.1.1.30
1.1.1.39) en ethernet3:1. Despus los combinar en un grupo de DIP identificado
como DIP 7, al que har referencia en una directiva.
Las VSI de los grupos VSD 0 y 1 son:
158
Grupo de IP dinmico
VSI de la zona Untrust ethernet3 1.1.1.1/24 (grupo VSD 0)
VSI de la zona Untrust ethernet3:1 1.1.1.2/24 (grupo VSD 1)
VSI de la zona Trust ethernet1 10.1.1.1/24 (grupo VSD 0)
VSI de la zona Trust ethernet1:1 10.1.1.1/24 (grupo VSD 1)
Asumamos que ya configur previamente los Dispositivos A y B en un clster NSRP,

cre el grupo VSD 1 (ScreenOS crea automticamente el grupo VSD 0 cuando se
coloca un dispositivo en un clster NSRP), y configur las interfaces mencionadas.
(Para obtener ms informacin sobre la configuracin de dispositivos de seguridad
para NSRP, consulte Volumen 11: Alta disponibilidad).
WebUI
1.
Rango DIP
ID: 5
IP Address Range: 1.1.1.20 1.1.1.29
Network > Interfaces > Edit (para ethernet3:1) > DIP > New: Introduzca los
ID: 6
IP Address Range: 1.1.1.30 1.1.1.39
NOTA:
En el momento de publicar esta versin, con CLI solamente se puede definir un

grupo de DIP.
2.
Directiva
clic en OK:
Source Address:
Service: ANY
Action: Permit
NAT:
DIP On: (seleccione), 7
CLI
1.
Rango DIP
set interface ethernet3 dip 5 1.1.1.20 1.1.1.29

set interface ethernet3:1 dip 6 1.1.1.30 1.1.1.39
2.
Grupos de DIP
set dip group 7 member 5

set dip group 7 member 6
3.
Directivas
set policy from trust to untrust any any any nat src dip-id 7 permit
save
Grupo de IP dinmico
159
Configurar una programacin recurrente

Una programacin es un objeto configurable que se puede asociar a una o varias
directivas para definir cundo deben entrar en vigor. Las tareas programadas
permiten controlar el flujo de trfico en la red y hacer cumplir las normas de
seguridad de la red.
Para definir una programacin, introduzca los valores de los parmetros siguientes:
Schedule Name: El nombre que aparece en la lista desplegable Schedule del

cuadro de dilogo Policy Configuration. Elija un nombre descriptivo que le
permita identificar la programacin. El nombre debe ser exclusivo y est
limitado a 19 caracteres.
Comment: Cualquier informacin adicional que desee agregar.
Recurring: Habilite esta opcin cuando desee que el programa se repita con
una periodicidad semanal.
Start and End Times: Debe configurar tanto la hora de comienzo como de fin.
Puede especificar hasta dos periodos de un mismo da.
Once: Habilite esta opcin cuando desee que la programacin se ejecute y

termine una sola vez.
mm/dd/aaaa hh:mm: Debe introducir tanto la fecha y hora de inicio como la
de fin.
En este ejemplo hay un empleado a tiempo parcial llamado Tom que utiliza el
acceso a Internet de la empresa para asuntos personales despus del trabajo. Usted
crear una programacin para el horario no comercial que asociar a una directiva
para denegar el trfico TCP/IP saliente generado por el equipo de ese trabajador
(10.1.1.5/32) fuera del horario de oficina normal.
WebUI
1.
Programacin
Objects > Schedules > New: Introduzca los siguientes datos y haga clic en OK:
Schedule Name: After Hours
Comment: For non-business hours
Recurring: (seleccione)
Periodo 1:
160
Da de la semana Hora comienzo
Hora final
Domingo
23:59
00:00
Lunes
00:00
06:00
Martes
00:00
06:00
Mircoles
00:00
06:00
Jueves
00:00
06:00
Viernes
00:00
06:00
Sbado
00:00
23:59
Periodo 2:
Da de la semana Hora comienzo
Hora final
Domingo
17:00
23:59
Lunes
17:00
23:59
Martes
17:00
23:59
Mircoles
17:00
23:59
Jueves
17:00
23:59
Viernes
17:00
23:59
Sbado
17:00
23:59
2.
Direccin
en OK:
Address Name: Tom
Comment: Temp
Zone: Trust
3.
Directiva
clic en OK:
Name: No Net
Source Address:
Address Book Entry: (seleccione), Tom
Service: HTTP
Action: Deny
Schedule: After Hours
161
CLI
1.
Programacin
set schedule after hours recurrent sunday start 00:00 stop 23:59
set schedule after hours recurrent monday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent tuesday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent wednesday start 00:00 stop 06:00 start
17:00 stop 23:59
set schedule after hours recurrent thursday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent friday start 00:00 stop 06:00 start 17:00
stop 23:59
set schedule after hours recurrent saturday start 00:00 stop 23:59 comment
for non-business hours
2.
Direccin
set address trust tom 10.1.1.5/32 temp

3.
Directiva
set policy from trust to untrust tom any http deny schedule after hours
save
162
Captulo 6
Directivas
El comportamiento predeterminado de un dispositivo de seguridad es rechazar
todo el trfico entre zonas de seguridad (trfico entre zonas) y, con excepcin del
trfico dentro de la zona Untrust, permitir todo el trfico entre interfaces asociadas
a una misma zona (trfico dentro de zonas). Para permitir que determinado trfico
entre zonas pase por un dispositivo de seguridad, debe crear directivas entre zonas
que tengan preferencia sobre el comportamiento predeterminado. De forma
anloga, para impedir que determinado trfico dentro de zonas pueda pasar por un
dispositivo de seguridad, debe crear las correspondientes directivas dentro de
zonas.
NOTA:
De forma predeterminada, los dispositivos NetScreen-5XP y NetScreen-5XT

permiten el trfico desde la zona Trust a la zona Untrust.
En este captulo se describe en qu consisten las directivas y cmo se relacionan
entre s los diversos elementos que componen una directiva. Contiene las siguientes
secciones:
NOTA:
Elementos bsicos en la pgina 164
Tres tipos de directivas en la pgina 165
Listas de conjuntos de directivas en la pgina 167
Definicin de directivas en la pgina 168
Directivas aplicadas en la pgina 179
Si configura el enrutamiento multicast en un dispositivo de seguridad, puede que

tenga que configurar directivas multicast. Para obtener informacin sobre
directivas multicast, consulte Directivas multicast en la pgina 7-143.
163
Elementos bsicos
Una directiva permite, deniega o canaliza por un tnel los tipos de trfico
especificados de forma unidireccional entre dos puntos. El tipo de trfico (o
servicio), la ubicacin de los dos puntos finales y la accin invocada componen
los elementos bsicos de una directiva. Aunque puede haber otros componentes,
los elementos requeridos, que juntos constituyen el ncleo de una directiva, son los
siguientes:
NOTA:
La accin tunnel (tnel VPN o L2TP) contiene implcitamente el concepto

permit.
Sentido: La direccin del trfico entre dos zonas de seguridad (desde una zona
de origen a una zona de destino)
Direccin de origen: La direccin desde la que se inicia el trfico
Destino: La zona a la que se enva el trfico
Servicio: El tipo de trfico transmitido
Accin: La accin realizada por el dispositivo de seguridad cuando recibe

trfico que cumple los cuatro primeros criterios: denegar, permitir, rechazar o
encapsular
Por ejemplo, la directiva indicada en el comando CLI siguiente permite el trfico

FTP desde cualquier direccin de la zona Trust a un servidor FTP llamado server1
en la zona DMZ:
set policy from trust to untrust any server1 ftp permit
164
Elementos bsicos
Sentido: from trust to untrust (es decir, de la zona Trust a la zona Untrust)
Direccin de origen: any (es decir, cualquier direccin en la zona Trust. El

trmino any significa una direccin predefinida aplicable a cualquier
direccin de una zona)
Direccin de destino: server1 (una direccin definida por el usuario en la

libreta de direcciones de la zona Untrust)
Servicio: ftp (protocolo de transferencia de archivos o File Transfer Protocol)
Accin: permitir (el dispositivo de seguridad permite a este trfico atravesar su

pared de fuego)
Captulo 6: Directivas
Tres tipos de directivas

Puede controlar el flujo de trfico mediante las tres clases de directivas siguientes:
Mediante la creacin de directivas dentro de zonas puede regular el tipo de

trfico que desee permitir desde una zona de seguridad a otra.
Mediante directivas dentro de zonas tambin puede controlar el tipo de trfico

al que desea permitir cruzar interfaces asociadas a la misma zona.
Creando directivas globales puede regular el trfico entre direcciones, sin

importar sus zonas de seguridad.
Directivas entre zonas

Las directivas entre zonas permiten controlar el trfico entre zonas de seguridad.
Puede establecer directivas entre zonas para denegar, permitir, rechazar o tunelizar
el trfico desde una zona a otra. Aplicando tcnicas de inspeccin de estado, un
dispositivo de seguridad mantiene una tabla de sesiones TCP activas y de
pseudosesiones UDP activas para poder permitir respuestas a las peticiones de
servicio. Por ejemplo, si tiene una directiva que permite enviar peticiones HTTP del
host A de la zona Trust al servidor B de la zona Untrust, cuando el dispositivo de
seguridad recibe respuestas HTTP del servidor B para el host A, el dispositivo de
seguridad comprueba el paquete recibido con el contenido de su tabla. Si detecta
que el paquete es una respuesta a una peticin HTTP aprobada, el dispositivo de
seguridad permite al paquete del servidor B de la zona Untrust cruzar la pared de
fuego hacia host A en la zona Trust. Para permitir el trfico iniciado por el servidor B
hacia el host A (no slo respuestas al trfico iniciado por el host A), debe crear una
segunda directiva del servidor B en la zona Untrust al host A en la zona Trust.
Figura 71: Directiva entre zonas
set policy from trust to untrust host A server B http permit
Servidor B
Host A
Zona Trust
Zona Untrust
Peticin HTTP
Respuesta HTTP
Peticin HTTP
Nota: El dispositivo de seguridad deniega la peticin HTTP del servidor B porque no hay ninguna directiva que lo p
Directivas dentro de zonas

Las directivas dentro de zonas permiten controlar el trfico entre interfaces
asociadas a la misma zona de seguridad. Las direcciones de origen y de destino se
encuentran en la misma zona de seguridad, pero se llega a ellas a travs de
diferentes interfaces del dispositivo de seguridad. Igual que las directivas entre
zonas, las directivas dentro de zonas controlan el trfico que fluye
unidireccionalmente. Para permitir el trfico iniciado en cualquier extremo de una
ruta de datos, debe crear dos directivas, una para cada sentido.
165
Figura 72: Directiva dentro de zonas

set policy from trust to trust host A server B any permit
set policy from trust to trust server B host A any permit
ethernet1
10.1.1.1/24
ethernet4
10.1.2.1/24
Conmutadores de capa 2
Host A
10.1.1.5
LAN 1
10.1.1.0/24
LAN
10.1.2.0/24
Servidor B
10.1.2.30
Zona Trust
Las directivas dentro de zonas no admiten tneles VPN ni la traduccin de

direcciones de la red de origen (NAT-src) a nivel de interfaz (set interface interface
nat). Sin embargo, las directivas dentro de zonas admiten NAT-src y NAT-dst basada
en directivas. Tambin admiten la traduccin de direcciones de destino cuando la
directiva hace referencia a una direccin IP asignada (MIP) como direccin de
destino. (Para obtener ms informacin sobre NAT-src, NAT-dst y MIP, consulte
Volumen 8: Traduccin de direcciones.)
Directivas globales
A diferencia de las directivas entre zonas y dentro de zonas, las directivas globales
no hacen referencia a zonas de origen y de destino especficas. Las directivas
globales hacen referencia a direcciones de la zona Global definidas por el usuario o
a la direccin any de la zona predefinida Global. Estas direcciones pueden pasar
por varias zonas de seguridad. Por ejemplo, si desea proporcionar acceso hacia o
desde varias zonas, puede crear una directiva global con la direccin any de la
zona Global, que abarca todas las direcciones de todas las zonas.
NOTA:
166
En el momento de publicar esta versin, las directivas globales no admiten la

traduccin de direcciones de red de origen (NAT-src), tneles VPN ni el modo
transparente. Puede, sin embargo, especificar una MIP o VIP como direccin de
destino en una directiva global.
Listas de conjuntos de directivas

Un dispositivo de seguridad mantiene tres diferentes listas de conjuntos de
directivas, una por cada una de las siguientes clases de directivas:
Directivas entre zonas
Directivas dentro de zonas
Directivas globales
Cuando el dispositivo de seguridad recibe un paquete de inicio de una nueva

sesin, detecta la interfaz de entrada y averigua a qu zona de origen est asociada
esa interfaz. A continuacin, el dispositivo de seguridad realiza una bsqueda de
rutas para determinar la interfaz de salida y determina a qu zona de destino est
asociada esa interfaz. Utilizando las zonas de origen y de destino, el dispositivo de
seguridad puede realizar una bsqueda de directivas, consultando las listas de
conjuntos de directivas en el orden siguiente:
1. Si las zonas de origen y de destino son diferentes, el dispositivo de seguridad
realiza una bsqueda de directivas en la lista de conjuntos de directivas entre
zonas.
(o bien)
Si las zonas de origen y de destino son iguales, el dispositivo de seguridad
realiza una bsqueda de directivas en la lista de conjuntos de directivas dentro
de zonas.
2. Si el dispositivo de seguridad realiza la consulta de directivas entre zonas o
dentro de zonas y no encuentra coincidencias, consulta la lista de conjuntos de
directivas global.
3. Si el dispositivo de seguridad realiza las bsquedas de directivas entre zonas y
globales y no encuentra coincidencias, aplica al paquete la directiva
permitir/denegar predeterminada: unset/set policy default-permit-all.
(o bien)
Si el dispositivo de seguridad realiza las bsquedas de directivas dentro de
zonas y globales y no encuentra coincidencias, aplica al paquete el ajuste de
bloqueo dentro de zonas de esa zona: unset/set zone zona block.
El dispositivo de seguridad consulta cada lista de conjuntos de directivas de arriba
abajo. Por lo tanto, las directivas ms especficas deben ubicarse en la lista por
encima de las menos especficas. (Para obtener ms informacin sobre el orden de
directivas, consulte Reordenar directivas en la pgina 195).
Listas de conjuntos de directivas
167
Definicin de directivas
Una pared de fuego representa el lmite de una red con un solo punto de entrada y
de salida. Como todo el trfico debe pasar a travs de este punto, puede
supervisarlo y dirigirlo implementando listas de conjuntos de directivas (para
directivas entre zonas, directivas dentro de zonas y directivas globales).
Las directivas permiten denegar, permitir, rechazar (denegar y enviar un mensaje
de puerto inalcanzable TCP RST o ICMP al host de origen), encriptar y desencriptar,
autenticar, priorizar, programar, filtrar y supervisar el trfico que intente pasar de
una zona de seguridad a otra. Usted decide qu usuarios y qu datos pueden entrar
y salir, as como cundo y a dnde pueden ir.
NOTA:
Para los dispositivos de seguridad que admiten sistemas virtuales, las directivas
establecidas en el sistema raz no afectan a las directivas establecidas en sistemas
virtuales.
Directivas y reglas
Una sola directiva definida por el usuario produce internamente una o ms reglas
lgicas, y cada regla lgica consta de un conjunto de componentes: la direccin de
origen, la direccin de destino y el servicio. Los componentes consumen recursos
de memoria. Las reglas lgicas que se refieren a los componentes no.
Dependiendo de si en una directiva se utilizan mltiples entradas o grupos para la
direccin de origen, la direccin de destino y los componentes del servicio, el
nmero de reglas lgicas puede ser mucho mayor de lo que puede parecer al crear
la directiva nica. Por ejemplo, la directiva siguiente produce 125 reglas lgicas:
1 directiva: 5 direcciones de origen x 5 direcciones de destino x 5 servicios =
125 reglas lgicas
Sin embargo, el dispositivo de seguridad no duplica componentes para cada regla
lgica. Las reglas utilizan el mismo conjunto de componentes en diferentes
combinaciones. Por ejemplo, la directiva antedicha que produce 125 reglas lgicas
solamente contiene 15 componentes:
5 direcciones de origen + 5 direcciones de destino + 5 servicios = 15
componentes
Estos 15 componentes se combinan de varias maneras para producir las 125 reglas
lgicas generadas por la directiva nica. Permitiendo que mltiples reglas lgicas
utilicen el mismo conjunto de componentes en diferentes combinaciones, el
dispositivo de seguridad consume muchos menos recursos que si cada regla lgica
tuviera una relacin uno a uno con sus componentes.
Dado que el tiempo de instalacin de una nueva directiva es proporcional al
nmero de componentes que el dispositivo de seguridad agrega, elimina o
modifica, la instalacin de directivas es ms rpida cuantos menos componentes
haya. Asimismo, al permitir que un gran nmero de reglas lgicas comparta un
pequeo conjunto de componentes, ScreenOS permite crear ms directivas (y el
dispositivo de seguridad permite crear ms reglas), que lo que sera posible si cada
regla requiriese componentes dedicados.
168
Anatoma de una directiva

Una directiva debe contener los elementos siguientes:
ID (generada automticamente, aunque puede ser definida por el usuario

mediante CLI)
Zonas (de origen y de destino)
Direcciones (de origen y de destino)
Servicios
Accin(permitir, denegar, rechazar, tunelizar)
Una directiva tambin puede contener los elementos siguientes:
Aplicacin
Nombre
Encapsulamiento VPN
Encapsulamiento L2TP
Deep Inspection
Colocacin al principio de la lista de directivas
Traduccin de direcciones de origen
Traduccin de direcciones de destino
Autenticacin de usuarios
Copia de seguridad de la sesin HA
Filtrado de Web
Registro
Recuento
Umbral de alarma de trfico
Tareas programadas
Anlisis antivirus
Asignacin de trfico
El resto de esta seccin examina cada uno de los elementos antedichos.
169
ID
Cada directiva tiene un nmero de identificacin, tanto si el usuario define uno
como si el dispositivo de seguridad lo asigna automticamente. Solamente se puede
definir un nmero de identificacin para una directiva ejecutando el comando set
policy de CLI: set policy id number Una vez conocido el nmero de
identificacin, puede entrar en el contexto de la directiva para ejecutar otros
comandos con el fin de modificarla. (Para obtener ms informacin sobre
contextos de directivas, consulte Entrada al contexto de una directiva en la
pgina 189).
Zonas
Una zona puede ser un segmento del espacio de red al que se aplican medidas de
seguridad (zona de seguridad), un segmento lgico que tiene asociada una interfaz
de tnel VPN (zona de tnel), o una entidad fsica o lgica que realiza una funcin
especfica (zona de funcin). Una directiva permite que el trfico fluya entre dos
zonas de seguridad (directiva entre zonas) o entre dos interfaces asociadas a la
misma zona (directiva dentro de zonas). (Para obtener ms informacin, consulte
Zonas en la pgina 25, Directivas entre zonas en la pgina 165 y Directivas
dentro de zonas en la pgina 165).
Direcciones
Las direcciones son objetos que identifican dispositivos de red tales como hosts y
redes por su ubicacin en relacin a la pared de fuego (en una de las zonas de
seguridad). Los hosts individuales se especifican utilizando la mscara
255.255.255.255, que indica que los 32 bits de la direccin son significativos. Las
redes se especifican utilizando su mscara de subred para indicar qu bits son
significativos. Para crear una directiva para direcciones especficas, primero debe
crear entradas para los hosts y redes correspondientes en la libreta de direcciones.
Tambin puede crear grupos de direcciones y aplicarles directivas como hara con
otras entradas en la libreta de direcciones. Cuando utilice grupos de direcciones
como elementos de directivas, tenga presente que, debido a que el dispositivo de
seguridad aplica la directiva a cada direccin en el grupo, el nmero disponibles de
reglas lgicas internas y de componentes que componen esas reglas se puede
agotar ms rpidamente de lo esperado. Esto supone un peligro, especialmente
cuando se utilizan grupos de direcciones tanto para el origen como para el destino.
(Para obtener ms informacin, consulte Directivas y reglas en la pgina 168).
Servicios
Los servicios son objetos que identifican los protocolos de aplicacin usando
informacin de la capa 4, como los nmeros de puerto TCP y UDP estndar y
universalmente aceptados para los servicios de aplicaciones como Telnet, FTP,
SMTP y HTTP. ScreenOS incluye servicios bsicos de Internet predefinidos. Tambin
se pueden definir servicios personalizados.
Puede definir directivas que especifiquen qu servicios deben permitirse,
denegarse, encriptarse, autenticarse, registrarse o contabilizarse.
170
Accin
Una accin es un objeto que describe el tratamiento que la pared de fuego debe dar
al trfico que recibe.
NOTA:
Deny bloquea el paquete y le impide atravesar el cortafuegos.
Permit permite que el paquete atraviese el cortafuegos.
Reject bloquea el paquete y le impide atravesar el cortafuegos. El dispositivo de

seguridad descarta el paquete y enva un segmento de restablecimiento (RST)
de TCP al host de origen para el trfico TCP y un mensaje de destino
inalcanzable, puerto inalcanzable ICMP (tipo 3, cdigo 3) para el trfico UDP.
Para los tipos de trfico distintos de TCP y UDP, el dispositivo de seguridad
descarta el paquete sin notificar al host de origen, lo cual tambin ocurre
cuando la accin es deny.
El dispositivo de seguridad enva un TCP RST despus de recibir (y descartar) un

segmento TCP con cualquier bit de cdigo activado salvo otro RST.
Cuando la interfaz de entrada est operando en la capa
2 o 3 y el protocolo es TCP, la direccin IP de origen en el TCP RST es la direccin
IP de destino en el paquete original (descartado). Cuando la interfaz de entrada
est operando en la capa 2 y el protocolo es UDP, la direccin IP de origen en el
mensaje ICMP coincide con la direccin IP de destino en el paquete original. Sin
embargo, si la interfaz de entrada est operando en la capa 3 y el protocolo es
UDP, la direccin IP de origen en el mensaje ICMP es la de la interfaz de entrada.
NOTA:
Tunnel encapsula los paquetes IP salientes y desencapsula los entrantes. Para

un tnel VPN IPSec, especifique qu tnel VPN utilizar. Para un tnel L2TP,
especifique qu tnel L2TP debe utilizarse. Para L2TP sobre IPSec
(L2TP-over-IPSec), especifique un tnel VPN de IPSec y un tnel L2TP.
Para L2TP sobre IPSec, las direcciones de origen y de destino del tnel VPN IPSec
deben ser iguales que las del tnel L2TP.
El dispositivo de seguridad aplica la accin especificada al trfico que cumple los
criterios presentados anteriormente: zonas (origen y destino), direcciones (origen y
destino) y servicio.
171
Aplicacin
La opcin de la aplicacin especifica la aplicacin de la capa 7 que apunta al
servicio de capa 4 al que se hace referencia en una directiva. Los servicios
predefinidos ya disponen de una asignacin a una aplicacin de capa 7. Sin
embargo, para los servicios personalizados es necesario vincular explcitamente el
servicio a una aplicacin, especialmente si se desea que la directiva aplique una
Puerta de enlace de la capa de aplicacin (ALG) o Deep Inspection al servicio
personalizado.
NOTA:
ScreenOS admite ALG para numerosos servicios, a saber: DNS, FTP, H.323, HTTP,
RSH, SIP, Telnet y TFTP.
La aplicacin de un ALG a un servicio personalizado implica los dos pasos
siguientes:
Definir un servicio personalizado con un nombre, un tiempo de espera, un

protocolo de transporte y los puertos de origen y de destino.
Al configurar una directiva, hacer referencia a ese servicio y al tipo de

aplicacin para el ALG que se desea aplicar.
Para obtener ms informacin sobre cmo aplicar Deep Inspection a un servicio

personalizado, consulte Mapping Custom Services to Applications on page 4-132.
Nombre
Puede dar a una directiva un nombre descriptivo para permitir identificar
fcilmente su finalidad.
NOTA:

ScreenOS (aplicables a los nombres creados para las directivas), consulte
Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii.
Encapsulamiento VPN
Puede aplicar una sola o varias directivas a cualquier tnel VPN que tenga
configurado. En WebUI, la opcin VPN Tunnel abre una lista desplegable de todos
esos tneles. En CLI puede consultar todos los tneles disponibles ejecutando el
comando get vpn. (Para obtener ms informacin, consulte Redes privadas
virtuales de punto a punto en la pgina 5-81 y Redes privadas virtuales de acceso
telefnico en la pgina 5-159).
Cuando las configuraciones VPN de ambos extremos de un tnel VPN utilizan NAT
basada en directivas, los administradores de ambos dispositivos de puerta de
enlace necesitan crear una directiva de trfico saliente y otra de trfico entrante
(cuatro directivas en total). Cuando las directivas de VPN constituyen un par
coincidente (es decir, las configuraciones de las directivas de trfico entrante y de
trfico saliente son iguales, salvo que las direcciones de origen y de destino estn
invertidas), puede configurar una directiva y seleccionar la casilla de verificacin
Modify matching bidirectional VPN policypara crear automticamente una
segunda directiva para el sentido opuesto. Para la configuracin de una nueva
directiva, la casilla de verificacin Matching VPN Policy est desactivada de forma
predeterminada. Para la modificacin de una directiva existente que sea un
172
miembro de un par coincidente, la casilla de verificacin est activada de forma

predeterminada, y cualquier cambio realizado en una directiva se propagar a la
otra.
NOTA:
Esta opcin solamente est disponible a travs de WebUI. No puede haber

mltiples entradas para ninguno de los componentes de directiva siguientes:
direccin de origen, direccin de destino o servicio.
Encapsulamiento L2TP
Puede aplicar una sola directiva o varias a cualquier tnel del protocolo de
encapsulamiento de capa 2 (L2TP) que haya configurado. En WebUI, la opcin de
L2TP proporciona una lista desplegable de todos esos tneles. En la interfaz CLI,
puede visualizar el estado de los tneles L2TP activos mediante el comando get
l2tp tunn_str active y ver todos los tneles disponibles mediante el comando get
l2tp all. Tambin puede combinar un tnel VPN con un tnel L2TP (si ambos tienen
el mismo punto final) para crear un tnel que combine las caractersticas de cada
uno. Esto se llama L2TP-over-IPSec (L2TP sobre IPSec).
NOTA:
Un dispositivo de seguridad en modo transparente no admite L2TP.
Deep Inspection
Deep Inspection (DI) es un mecanismo para filtrar el trfico permitido en las capas
Network y Transport, al examinar no solamente estas capas, sino las caractersticas
de contenido y protocolo en la capa de aplicacin. El objetivo de DI es detectar y
prevenir cualquier ataque o comportamiento anmalo que pudiera existir en el
trfico permitido por el cortafuegos de Juniper Networks.
NOTA:
En el modelo OSI (Open Systems Interconnection), la capa Network es la 3

(Layer 3), la capa Transport es la 4 (Layer 4) y la capa Application es la 7
(Layer 7). El modelo OSI es un modelo estndar en el sector de la industria de
redes de una arquitectura de protocolos de red. El modelo OSI se compone de
siete capas.
Para configurar una directiva para la proteccin frente a ataques, debe elegir dos
opciones: qu grupo (o grupos) de ataque utilizar y qu accin tomar si se detecta
un ataque. (Para obtener ms informacin, consulte Deep Inspection on
page 4-97).
Colocacin al principio de la lista de directivas

De forma predeterminada, ScreenOS coloca las directivas recin creadas al final de
la lista de conjuntos de directivas. Si necesita reubicar la directiva, puede utilizar
cualquiera de los mtodos de reordenacin de directivas explicados en Reordenar
directivas en la pgina 195. Para evitar el paso adicional de reubicar una directiva
recin creada en la parte superior de una lista de conjuntos de directivas, puede
seleccionar la opcin Position at Top de WebUI, o bien utilizar la palabra clave top
en el comando set policy
(set policy top ) de CLI.
173
Traduccin de direcciones de origen

Puede aplicar la traduccin de direcciones de origen (NAT-src) al nivel de directivas.
Con NAT-src puede traducir la direccin de origen en la red entrante o saliente y en
el trfico VPN. La nueva direccin de origen puede proceder de un conjunto de IP
dinmicas (DIP) o de la interfaz de salida. NAT-src tambin admite la traduccin de
direcciones de los puertos de origen (PAT). Para obtener ms informacin sobre
todas las opciones de NAT-src disponibles, consulte Traduccin de direcciones de
red de origen en la pgina 8-15.
NOTA:
Tambin puede realizar la traduccin de direcciones de origen a nivel de la

interfaz, conocida como traduccin de direcciones de red (NAT). Para obtener ms
informacin sobre el nivel de interfaz NAT-src, o simplemente NAT, consulte
Modo NAT en la pgina 94.
Traduccin de direcciones de destino

Puede aplicar la traduccin de direcciones de destino (NAT-dst) a nivel de directiva.
Con NAT-dst puede traducir la direccin de origen en la red entrante o saliente y en
el trfico VPN. NAT-dst tambin admite la asignacin de puertos de destino. Para
obtener ms informacin sobre todas las opciones de NAT-dst disponibles, consulte
Traduccin de direcciones de red de destino en la pgina 8-29.
Autenticacin de usuarios
Seleccionar esta opcin requiere que el usuario de autenticacin en la direccin de
origen autentique su identidad proporcionando un nombre de usuario y la
contrasea antes de permitir al trfico atravesar el cortafuegos o introducirse en el
tnel VPN. El dispositivo de seguridad puede utilizar la base de datos local o un
servidor RADIUS, SecurID o LDAP autenticado externo para realizar la
comprobacin de la autenticacin.
NOTA:
Si una directiva que requiere autenticacin puede aplicarse a una subred de

direcciones IP, se requerir autenticacin para cada direccin IP de esa subred.
Si un host admite mltiples cuentas de usuarios de autenticacin (como ocurre
con un host Unix que ejecuta Telnet), una vez que el dispositivo de seguridad ha
autenticado al primer usuario, el resto de usuarios de ese host pueden enviar
trfico a travs del dispositivo de seguridad sin necesidad de autenticacin, al
haber heredado los privilegios del primer usuario.
ScreenOS proporciona dos esquemas de autenticacin:
174
Autenticacin en tiempo de ejecucin, en la cual el dispositivo de seguridad

solicita al usuario de autenticacin que inicie una sesin al recibir trfico HTTP,
FTP o Telnet que cumpla una directiva en la que est habilitada la
autenticacin.
WebAuth, en la cual el usuario debe autenticarse para poder enviar trfico a

travs del dispositivo de seguridad.
Autenticacin en tiempo de ejecucin
El proceso de autenticacin en tiempo de ejecucin ocurre como sigue:

1. Cuando el usuario de autenticacin enva una peticin de conexin HTTP, FTP
o Telnet a la direccin de destino, el dispositivo de seguridad intercepta el
paquete y lo almacena en un bfer.
2. El dispositivo de seguridad enva al usuario de autenticacin un mensaje de
peticin de inicio de sesin.
3. El usuario de autenticacin responde a esta peticin con su nombre de usuario
y contrasea.
4. El dispositivo de seguridad autentica la informacin de inicio de sesin de
usuario de autenticacin.
Si la autenticacin es correcta, se establece una conexin entre el usuario de
autenticacin y la direccin de destino.
Para la peticin de conexin inicial, la directiva debe incluir uno o todos los
servicios siguientes: Telnet, HTTP o FTP. Slo una directiva con uno o todos estos
servicios puede iniciar el proceso de autenticacin. En una directiva que implique
autenticacin de usuario se puede utilizar cualquiera de los siguientes servicios:
Any (porque any (cualquiera) incluye los tres servicios requeridos)
Telnet, FTP o HTTP.
Un grupo de servicios que incluye el servicio o los servicios que desea, ms

como mnimo uno de los tres servicios requeridos para iniciar el proceso de
autenticacin (Telnet, FTP o HTTP). Por ejemplo, puede crear un grupo de
servicios personalizado llamado Login que proporcione los servicios FTP,
NetMeeting y H.323. Luego, cuando cree la directiva, especifique Login como
el servicio.
Para cualquier conexin que sigue a una autenticacin correcta, todos los servicios
especificados en la directiva son vlidos.
NOTA:
Una directiva con la autenticacin habilitada no admite DNS (puerto 53) como
servicio.
Autenticacin de comprobacin previa a la directiva (WebAuth)
El proceso de autenticacin de WebAuth es como sigue:

1. El usuario de autenticacin establece una conexin HTTP a la direccin IP del
servidor de WebAuth.
2. El dispositivo de seguridad enva al usuario de autenticacin un mensaje de
peticin de inicio de sesin.
3. El usuario de autenticacin responde a esta peticin con su nombre de usuario
y contrasea.
175
4. El dispositivo de seguridad o un servidor de autenticacin externo autentica la

informacin de inicio de sesin del usuario de autenticacin.
Si el intento de autenticacin tiene xito, el dispositivo de seguridad permite al
usuario de autenticacin iniciar trfico a los destinos especificados en las
directivas que obligan a la autenticacin por el mtodo de WebAuth.
NOTA:
Para obtener ms informacin sobre estos dos mtodos de autenticacin de

usuarios, consulte Referencias a usuarios autenticados en directivas en la
pgina 9-38.
Puede restringir o ampliar el rango de los usuarios de autenticacin a quienes deba
aplicarse la directiva seleccionando un determinado grupo de usuarios, usuario
local o externo o una expresin de grupo. (Para obtener ms informacin sobre
expresiones de grupos, consulte Expresiones de grupos en la pgina 9-5). Si en
una directiva no se hace referencia a un usuario de autenticacin o a un grupo de
usuarios (en WebUI, seleccionando la opcin Allow Any), la directiva se aplicar a
todos los usuarios de autenticacin del servidor especificado.
NOTA:
ScreenOS vincula los privilegios de autenticacin a la direccin IP del host desde

el que se conecta el usuario de autenticacin. Si el dispositivo de seguridad
autentica a un usuario de un host situado detrs de un dispositivo NAT que utilice
una sola direccin IP para todas las asignaciones NAT, los usuarios de otros hosts
situados detrs de ese dispositivo NAT recibirn automticamente los mismos
privilegios.
Copia de seguridad de la sesin HA

Cuando dos dispositivos de seguridad se encuentran en un clster NSRP para alta
disponibilidad (HA), puede especificar qu sesiones salvaguardar y cules no. Para
el trfico cuyas sesiones no desee salvaguardar, aplique una directiva con la opcin
HA session backup desactivada. En WebUI, desactive la casilla de verificacin HA
Session Backup. En CLI, utilice el argumento no-session-backup en el comando
set policy. De forma predeterminada, los dispositivos de seguridad de un clster
NSRP salvaguardan las sesiones.
Filtrado de Web
El filtrado de URL, denominado tambin filtrado de URL, permite administrar los
accesos a Internet e impedir el acceso a contenidos no apropiados. Para obtener
ms informacin, consulte Web Filtering on page 4-80.
Registro
Cuando se habilita el registro en una directiva, el dispositivo de seguridad registra
todas las conexiones a las que esa directiva en particular sea aplicable. Los registros
se pueden visualizar con WebUI o CLI. En la WebUI, haga clic en Reports > Policies
> Logging (para la directiva cuyo registro desee consultar). En CLI, utilice el
comando get log traffic policy id_num.
176
NOTA:
Para obtener ms informacin sobre cmo visualizar registros y grficos, consulte

Monitoring Security Devices on page 3-51.
Recuento
Cuando se habilita el recuento en una directiva, el dispositivo de seguridad cuenta
el nmero total de bytes de trfico para los que esa directiva es aplicable y registra
la informacin en grficos de historial. Para visualizar los grficos de historial de
una directiva en la WebUI, haga clic en Reports >Counting (para la directiva cuyo
recuento de trfico desea consultar).
Umbral de alarma de trfico

Puede establecer un umbral que dispare una alarma cuando el trfico permitido por
la directiva exceda un nmero especificado de bytes por segundo, bytes por
minuto, o ambos. Debido a que la alarma de trfico requiere que el dispositivo de
seguridad supervise el nmero total de bytes, tambin debe habilitar la funcin de
recuento.
NOTA:
Para obtener ms informacin sobre alarmas de trfico, consulte Traffic Alarms

on page 3-61.
Tareas programadas
Asociando una programacin a una directiva, se puede determinar cundo debe
activarse esa directiva. Puede configurar programaciones repetitivas y como evento
nico. Las programaciones proporcionan una potente herramienta para controlar el
flujo de trfico de la red e implementar seguridad en sta. Como ejemplo de esto
ltimo, si le preocupa que algunos empleados puedan transmitir datos importantes
fuera de la empresa, puede establecer una directiva que bloquee los tipos de trfico
saliente FTP-Put y MAIL despus del horario de oficina normal.
En WebUI, defina tareas programadas en la seccin Objects > Schedules. En CLI,
ejecute el comando set schedule.
NOTA:
En WebUI, las directivas programadas aparecen con un fondo gris para indicar que
la hora actual no est dentro de la programacin definida. Cuando una directiva
programada se activa, aparece con un fondo blanco.
Anlisis antivirus
Algunos dispositivos de Juniper Networks admiten un analizador antivirus interno
que se puede configurar para filtrar trfico FTP, HTTP, IMAP, POP3 y SMTP. Si el
analizador AV incorporado detecta un virus, descarta el paquete y enva un mensaje
al cliente que inici el trfico para informarle sobre dicho virus.
NOTA:
Para obtener ms informacin sobre el anlisis antivirus, consulte Anlisis

antivirus en la pgina 2-177.
177
Asignacin de trfico
Puede establecer los parmetros de control y asignacin del trfico para cada
directiva. Los parmetros de asignacin de trfico son:
NOTA:
NOTA:
Guaranteed Bandwidth: Tasa de transferencia garantizada en kilobits por

segundo (kbps). El trfico que no alcanza este umbral pasa con la prioridad ms
alta sin ser sometido a ningn mecanismo de administracin o asignacin del
trfico.
Maximum Bandwidth: Ancho de banda garantizado disponible para el tipo de

conexin en kilobits por segundo (kbps). El trfico ms all de este umbral se
regula y descarta.
Se aconseja no utilizar tasas inferiores a 10 kbps. Las tasas inferiores a este umbral
conducen al descarte de paquetes y a un nmero excesivo de reintentos que
contravienen el objetivo de la administracin del trfico.
Traffic Priority: Cuando el ancho de banda del trfico se encuentra entre los
ajustes garantizado y mximo, el dispositivo de seguridad permite pasar
primero el trfico de mayor prioridad, y el trfico de menor prioridad slo
cuando no hay otro trfico de prioridad superior. Existen ocho niveles de
prioridad.
DiffServ Codepoint Marking:Differentiated Services (DiffServ) es un

sistema para etiquetar (o marcar) el trfico de una posicin dentro de una
jerarqua de prioridades. Puede asignar los ocho niveles de prioridad de
ScreenOS al sistema DiffServ. De forma predeterminada, la prioridad ms alta
(prioridad 0) del sistema ScreenOS corresponde a los tres primeros bits (111)
del campo DiffServ (consulte la RFC 2474), o al campo de precedencia de IP
del byte TOS (consulte la RFC 1349), en el encabezado de paquetes de IP. La
prioridad ms baja (prioridad 7) en ScreenOS se asigna a (000) en el sistema
TOS DiffServ. Cuando habilita el DSCP, ScreenOS sobrescribe los primeros 3
bits en el byte ToS con la prioridad de precedencia de IP. Cuando se habilita el
DSCP y establece un valordscp-byte, ScreenOS sobrescribe los primeros 6 bits
del byte ToS con el valor del DSCP.
Para averiguar ms sobre la administracin y asignacin del trfico, consulte

Asignacin de trfico en la pgina 197.
Para cambiar la asignacin entre los niveles de prioridad de ScreenOS y el
sistema DiffServ, utilice el siguiente comando CLI:
set traffic-shaping ip_precedence number0 number1 number2 number3
number4 number5 number6 number7
donde number0 corresponde a la prioridad 0 (la prioridad ms alta del

sistema TOS DiffServ), number1 corresponde a la prioridad 1, y as
sucesivamente.
178
Para incluir prioridades de IP en puntos de cdigo selectores de clase (class

selector codepoints), es decir, poner a cero el segundo grupo de tres bits del
campo DiffServ para asegurar que los niveles de prioridad establecidos con
ip_precedence se conserven y sean correctamente tratados por los enrutadores
de bajada, utilice el comando CLI siguiente:
set traffic-shaping dscp-class-selector
Directivas aplicadas
Esta seccin describe la administracin de directivas: visualizacin, creacin,
modificacin, ordenacin y reordenacin y eliminacin de directivas.
Visualizacin de directivas
Para visualizar directivas a travs de WebUI, haga clic en Policies. Puede clasificar
las directivas mostradas por zonas de origen y de destino, eligiendo nombres de
zonas en las listas desplegables From y To, y haciendo clic en Go. En CLI, utilice el
comando get policy [ all | from zone to zone | global | id number ] .
Creacin de directivas
Para permitir el flujo de trfico entre dos zonas, debe crear directivas para permitir,
denegar, rechazar o tunelizar el trfico entre esas zonas. Tambin puede crear
directivas para controlar el trfico dentro de la misma zona si el dispositivo de
seguridad es el nico dispositivo de red capaz de enrutar el trfico intrazonal entre
las direcciones de origen y de destino referidas en la directiva. Tambin puede crear
directivas globales que utilizan direcciones de origen y de destino en la libreta de
direcciones de la zona Global.
Para permitir trfico bidireccional entre dos zonas (por ejemplo, entre la zona Trust
y la zona Untrust) se necesita crear una directiva para el trfico de Trust a Untrust y
otra para el trfico de Untrust a Trust. Dependiendo de sus necesidades, las
directivas pueden utilizar la misma direccin IP o bien direcciones diferentes,
invirtiendo las direcciones de origen y destino.
Se pueden definir directivas entre cualesquiera zonas situadas dentro del mismo
sistema, ya sea raz o virtual. Para definir una directiva entre el sistema raz y un
sistema virtual (vsys), una de las zonas debe ser compartida. (Para obtener ms
informacin sobre zonas compartidas en lo referente a sistemas virtuales, consulte
el Volumen 10: Sistemas virtuales.)
Crear servicio de correo de directivas entre zonas

En este ejemplo, crear tres directivas para controlar el flujo de trfico de correo
electrnico.
La primera directiva permitir a los usuarios internos de la zona Trust enviar y
recibir correo electrnico de un servidor de correo local situado en la zona DMZ.
Esta directiva permitir a los servicios MAIL (es decir, SMTP) y POP3 generados por
los usuarios internos atravesar el cortafuegos de Juniper Networks para alcanzar el
servidor de correo local.
179
Las directivas segunda y tercera permitirn al servicio MAIL atravesar el cortafuegos

existente entre el servidor de correo local de la zona DMZ y un servidor de correo
remoto de la zona Untrust.
Sin embargo, antes de crear directivas para controlar trfico entre diferentes zonas
de seguridad, debe disear el entorno en el que aplicar esas directivas. Primero
asociar interfaces a zonas y les asignar direcciones IP de interfaces:
Asocie ethernet1 a la zona Trust y asgnele la direccin IP 10.1.1.1/24.
Asocie ethernet2 a la zona DMZ y asgnele la direccin IP 1.2.2.1/24.
Asocie ethernet3 a la zona Untrust y asgnele la direccin IP 1.1.1.1/24.

Todas las zonas de seguridad se encuentran en el dominio de enrutamiento
trust-vr.
En segundo lugar, crear las direcciones que se utilizarn en las directivas:
Defina una direccin en la zona Trust llamada corp_net y asgnele la direccin

IP 10.1.1.0/24.
Defina una direccin en la zona DMZ llamada mail_svr y asgnele la direccin

IP 1.2.2.5/32.
Defina una direccin en la zona Untrust llamada r-mail_svr y asgnele la

direccin IP 2.2.2.5/32.
En tercer lugar, crear un grupo de servicios llamado MAIL-POP3 que contendr

los dos servicios predefinidos MAIL y POP3.
En cuarto lugar, configurar una ruta predeterminada en el dominio de
enrutamiento trust-vr que sealar al enrutador externo en 1.1.1.250 a travs de
ethernet3.
Una vez completados los pasos 1 a 4, podr crear las directivas necesarias para
permitir la transmisin, recuperacin y entrega de correo electrnico dentro y fuera
de su red protegida.
WebUI
1.
Interfaces
haga clic en Apply:
Zone Name: Trust
Interface Mode: NAT
haga clic en OK:
Zone Name: DMZ
180
haga clic en OK:
Zone Name: Untrust
2.
Direcciones
en OK:
Address Name: corp_net
Zona: Trust
en OK:
Address Name: mail_svr
Zona: DMZ
en OK:
Address Name: r-mail_svr
Zona: Untrust
3.
Grupo de servicios
Objects > Services > Groups: Introduzca el siguiente nombre de grupo, mueva
los siguientes servicios y haga clic en OK:
Group Name: MAIL-POP3
Seleccione MAILy utilice el botn << para mover el servicio de la columna

Seleccione POP3y utilice el botn << para mover el servicio de la
4.
Ruta
5.
Directivas
Directivas > (De: Trust, A: Untrust) > New: Introduzca los siguientes datos y
haga clic en OK:
181
Source Address:
Address Book Entry: (seleccione), corp_net
Address Book Entry: (seleccione), mail_svr
Service: Mail-POP3
Action: Permit
Directivas > (De: DMZ, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), r-mail_svr
Service: MAIL
Action: Permit
Directivas > (De: Untrust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), r-mail_svr
Service: MAIL
Action: Permit
CLI
1.
Interfaces

set interface ethernet2 zone dmz
2.
Direcciones
set address trust corp_net 10.1.1.0/24

set address dmz mail_svr 1.2.2.5/32
set address untrust r-mail_svr 2.2.2.5/32
3.
Grupo de servicios
set group service MAIL-POP3

set group service MAIL-POP3 add mail
set group service MAIL-POP3 add pop3
4.
Ruta

5.
Directivas
set policy from trust to dmz corp_net mail_svr MAIL-POP3 permit

set policy from dmz to untrust mail_svr r-mail_svr MAIL permit
set policy from untrust to dmz r-mail_svr mail_svr MAIL permit
save
Crear un conjunto de directivas entre zonas

Una pequea empresa de software, ABC Design, ha dividido su red interna en dos
subredes, y ambas estn en la zona Trust. Estas dos subredes son:
182
Engineering (con la direccin definida como Eng)
Resto de la empresa (con la direccin definida como Office)
Tambin tiene una zona DMZ para sus servidores de web y correo electrnico.
El ejemplo siguiente presenta un conjunto tpico de directivas para los siguientes
usuarios:
Eng puede utilizar todos los servicios de trfico saliente salvo FTP-Put, IMAP,
MAIL y POP3.
Los usuarios de Office pueden utilizar el correo electrnico y el acceso a

Internet, siempre que se autentiquen a travs de WebAuth. (Para obtener ms
informacin sobre la autenticacin de usuarios mediante WebAuth, consulte
Usuarios de autenticacin en la pgina 9-37).
Cada usuario de la zona Trust puede acceder a los servidores de web y correo
electrnico en la zona DMZ.
Un servidor de correo remoto de la zona Untrust puede acceder al servidor de

correo local de la zona DMZ.
Tambin hay un grupo de administradores de sistemas (con la direccin

definida por el usuario sys-admins), que disponen de permisos completos de
acceso de usuario y acceso administrativo a los servidores de la zona DMZ.
Figura 73: Conjunto de directivas entre zonas

Zona Untrust
Internet
www.abc.com
mail.abc.com
Enrutador externo
Enrutador interno
Zona DMZ
LAN de Eng
LAN de Office
Zona Trust
Se parte de la base de que ya tiene configuradas las interfaces, direcciones, grupos

de servicios y rutas necesarias. Para obtener ms informacin sobre la
configuracin de los elementos anteriores, consulte Interfaces en la pgina 45,
Direcciones en la pgina 106, Grupos de servicios en la pgina 142 y
Volumen 7: Enrutamiento.
183
Tabla 18: Directivas configuradas

De la zona - Dir origen
A la zona - Dir destino
Servicio
Accin
Trust - Any
Untrust - Any
Com (grupo de servicios:

FTP-Put, IMAP, MAIL, POP3)
Rechazo
Trust - Eng
Untrust - Any
Any
Permit
Trust - Office
Untrust - Any
Internet (grupo de servicios:

FTP-Get, HTTP, HTTPS)
Permit (+ WebAuth)
Untrust - Any
DMZ - mail.abc.com
MAIL
Permit
Untrust - Any
DMZ - www.abc.com
Web (grupo de servicios:

HTTP, HTTPS)
Permit
Trust - Any
DMZ - mail.abc.com
Email (grupo de servicios:

IMAP, MAIL, POP3)
Permit
Trust - Any
DMZ - www.abc.com
Internet (grupo de servicios:

FTP-Get, HTTP, HTTPS)
Permit
Trust - sys-admins
DMZ - Any
Any
Permit
DMZ - mail.abc.com
Untrust - Any
MAIL
Permit
NOTA:
La directiva predeterminada es denegar todo.

WebUI
1.
De Trust a Untrust
clic en OK:
Source Address:
Address Book Entry: (seleccione), Eng
Service: ANY
Action: Permit
clic en OK:
Source Address:
Address Book Entry: (seleccione), Office
Service: Internet
Action: Permit
Authentication: (seleccione)
WebAuth: (seleccione)
NOTA:
184
Internet es un grupo de servicios con los siguientes miembros: FTP-Get, HTTP y

HTTPS.
clic en OK:
Source Address:
Service: Com
Action: Reject
NOTA:
Com es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL,

IMAP y POP3.
Para el trfico de la zona Untrust a la zona Trust, la directiva de denegacin
predeterminada deniega todo.
2.
De Untrust a DMZ
clic en OK:
Source Address:
Address Book Entry: (seleccione), mail.abc.com
Service: MAIL
Action: Permit
clic en OK:
Source Address:
Address Book Entry: (seleccione), www.abc.com
Service: Web
Action: Permit
NOTA:
Web es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.

3.
De Trust a DMZ
Directivas > (De: Trust, A: DMZ) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Service: correo electrnico
Action: Permit
185
NOTA:
e-mail es un grupo de servicios con los siguientes miembros: MAIL, IMAP y

POP3.
clic en OK:
Source Address:
Address Book Entry: (seleccione), www.abc.com
Service: Internet
Action: Permit
clic en OK:
Source Address:
Address Book Entry: (seleccione), sys-admins
Service: ANY
Action: Permit
4.
De DMZ a Untrust
Directivas > (De: DMZ, A: Untrust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Service: MAIL
Action: Permit
CLI
1.
De Trust a Untrust
set policy from trust to untrust eng any any permit

set policy from trust to untrust office any Internet permit webauth
set policy top from trust to untrust any any Com reject
NOTA:

HTTPS.
Com es un grupo de servicios con los siguientes miembros: FTP-Put, MAIL,
IMAP y POP3.
2.
De Untrust a DMZ
set policy from untrust to dmz any mail.abc.com mail permit

set policy from untrust to dmz any www.abc.com Web permit
NOTA:
186
Web es un grupo de servicios con los siguientes miembros: HTTP y HTTPS.
3.
De Trust a DMZ
set policy from trust to dmz any mail.abc.com e-mail permit

set policy from trust to dmz any www.abc.com Internet permit
set policy from trust to dmz sys-admins any any permit
NOTA:
e-mail es un grupo de servicios con los siguientes miembros: MAIL, IMAP y

POP3.
HTTPS.
4.
De DMZ a Untrust
set policy from dmz to untrust mail.abc.com any mail permit

save
Crear directivas dentro de zonas

En este ejemplo crear una directiva intrazonal para permitir a un grupo de
contables acceder a un servidor confidencial de la LAN corporativa en la zona Trust.
Primero asociar ethernet1 a la zona Trust y le dar la direccin IP 10.1.1.1/24.
Despus asociar ethernet2 a la zona Trust y le asignar la direccin IP 10.1.5.1/24.
Habilitar el bloqueo intrazonal en la zona Trust. A continuacin, definir dos
direcciones, una para un servidor en el que la empresa almacena sus registros
financieros (10.1.1.100/32) y otra para la subred que contiene los hosts del
departamento de contabilidad (10.1.5.0/24). Seguidamente crear una directiva
intrazonal para permitir el acceso al servidor desde esos hosts.
WebUI
1.
Zona Trust: Interfaces y bloqueo
haga clic en Apply:
Zone Name: Trust
Interface Mode: NAT
haga clic en Apply:
Zone Name: Trust
Interface Mode: NAT
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Block Intra-Zone Traffic: (seleccione)
2.
Direcciones
en OK:
187
Address Name: Hamilton

Zone: Trust
en OK:
Address Name: accounting
Zone: Trust
3.
Directiva
Directivas > (De: Trust, A: Trust) > New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), accounting
Address Book Entry: (seleccione), Hamilton
Service: ANY
Action: Permit
CLI
1.
Zona Trust: Interfaces y bloqueo

set zone trust block
2.
Direcciones
set address trust Hamilton 10.1.1.100/32

set address trust accounting 10.1.5.0/24
3.
Directiva
set policy from trust to trust accounting Hamilton any permit

save
Crear una directiva global

En este ejemplo, usted crea una directiva global, de modo que cada host en todas
las zonas pueda tener acceso al sitio web de la compaa: www.juniper.net. El uso
de una directiva global constituye un mtodo abreviado muy prctico cuando
existen muchas zonas de seguridad. En este ejemplo, una directiva global lograr lo
mismo que n directivas entre zonas (donde n = nmero de zonas).
NOTA:
188
Para utilizar un nombre de dominio en lugar de una direccin IP, asegrese de

tener configurado el servicio DNS en el dispositivo de seguridad.
WebUI
1.
Direccin global
en OK:
Address Name: server1
Domain Name: (seleccione), www.juniper.net
Zona: Global
2.
Directiva
Directivas > (De: Global, A: Global) > New : Introduzca los siguientes datos y
haga clic en OK:
Source Address:
Address Book Entry: (seleccione), server1
Service: HTTP
Action: Permit
CLI
1.
Direccin global
set address global server1 www.juniper.net

2.
Directiva
set policy global any server1 http permit

save
Entrada al contexto de una directiva

Al configurar una directiva mediante CLI, una vez creada una directiva, puede
introducirse en el contexto de sta para agregar o modificar datos. Por ejemplo,
suponga que primero crea la directiva siguiente:
set policy id 1 from trust to untrust host1 server1 HTTP permit attack
HIGH:HTTP:SIGS action close
Si desea efectuar algunos cambios en una directiva, como la inclusin de otra

direccin de origen o de destino, otro servicio u otro grupo de ataque, puede
introducirse en el contexto de la directiva 1 y luego ejecutar los comandos
pertinentes:
set policy id 1
ns(policy:1)-> set src-address host2
ns(policy:1)-> set dst-address server2
ns(policy:1)-> set service FTP
ns(policy:1)-> set attack CRITICAL:HTTP:SIGS
Tambin puede eliminar varios elementos de un componente de directiva nico,

siempre que no elimine todos. Por ejemplo, puede eliminar server2 de la
configuracin anterior, pero no server2 y server1 a la vez, porque no quedara
ninguna direccin de destino.
189
Varios elementos por componente de directiva

ScreenOS permite agregar mltiples elementos a los siguientes componentes de
una directiva:
Direccin de origen
Direccin de destino
Servicio
Grupo de ataque
En versiones anteriores a ScreenOS 5.0.0, la nica manera de tener mltiples

direcciones de origen y destino o mltiples servicios era crear primero un grupo de
direcciones o de servicios con mltiples miembros y luego hacer referencia al
mismo en una directiva. En las directivas de ScreenOS 5.0.0 todava se pueden
utilizar grupos de direcciones y de servicios. Adems, puede simplemente agregar
elementos adicionales directamente a un componente de la directiva.
NOTA:
Si la primera direccin o servicio al que se hace referencia en una directiva es

Any, no se le podr agregar lgicamente nada ms. ScreenOS impide este tipo
de errores de configuracin mostrando un mensaje de error cuando ocurren.
Para agregar mltiples elementos a un componente de directiva, ejecute cualquiera
de los siguientes procedimientos:
WebUI
Para agregar ms direcciones y servicios, haga clic en el botn Multiple
contiguo al componente al cual desea agregar ms elementos. Para agregar
ms grupos de ataque, haga clic en el botn Attack Protection. Seleccione un
elemento en la columna Available Members y utilice la tecla << para
moverlo a la columna Active Members. Puede repetir esta accin con otros
elementos. Cuando haya terminado, haga clic en OK para regresar a la pgina
de configuracin de directivas.
CLI
Entre al contexto de la directiva con el comando siguiente:
set policy id number
Ahora utilice uno de los comandos siguientes segn convenga:

ns(policy:number)-> set src-address string
ns(policy:number)-> set dst-address string
ns(policy:number)-> set service string
ns(policy:number)-> set attack string
190
Ajustar la negacin de direcciones

Puede configurar una directiva de modo que sea aplicable a todas las direcciones
salvo a la especificada como origen o destino. Por ejemplo, suponga que desea
crear una directiva que permita el acceso a Internet a todos salvo al grupo de
direcciones P-T_contractors. Para lograrlo, puede utilizar la opcin de negacin de
direcciones.
En WebUI, esta opcin est disponible en la ventana emergente que aparece al
hacer clic en el botn Multiple junto a Source Address o a Destination Address
en la pgina de configuracin de directivas.
En CLI, inserte un signo de exclamacin ( ! ) inmediatamente antes de la direccin
de origen o de destino.
NOTA:
La negacin de direcciones ocurre en el nivel de componentes de directivas,

aplicndose a todos los elementos del componente negado.
En este ejemplo crear una directiva intrazonal que permitir a todas las
direcciones de la zona Trust acceder a todos los servidores FTP salvo a un
determinado servidor FTP llamado vulcan, que los miembros del departamento
de ingeniera utilizan para intercambiar especificaciones funcionales entre s.
Sin embargo, antes de crear la directiva deber disear el entorno en el cual desea
aplicarlo. Primero habilitar el bloqueo dentro de zonas para la zona Trust. El
bloqueo dentro de zonas requiere efectuar una bsqueda de directivas antes de que
el dispositivo de seguridad pueda pasar trfico entre dos interfaces asociadas a la
misma zona.
En segundo lugar, asociar dos interfaces a la zona Trust y les asignar direcciones
IP:
Asociar ethernet1 a la zona Trust y le asignar la direccin IP 10.1.1.1/24.
Asociar ethernet4 a la zona Trust y le asignar la direccin IP 10.1.2.1/24.
Tercero, crear una direccin (10.1.2.5/32) para el servidor FTP llamado vulcan
en la zona Trust.
Despus de completar estos dos pasos, podr crear las directivas dentro de zonas.
NOTA:
No es necesario crear una directiva para que el departamento de ingeniera pueda

alcanzar su servidor FTP, ya que los ingenieros tambin se encuentran en la
subred 10.1.2.0/24 y no necesitan traspasar el cortafuegos de Juniper Networks
para alcanzar su propio servidor.
191
Figura 74: Negacin de directivas dentro de zonas

ethernet1
10.1.1.1/24
ethernet4
10.1.2.1/24
Conmutadores internos
10.1.1.0/24
(Resto de
Corporate)
10.1.2.0/24
(Ingeniera)
Zona Trust
Bloqueo dentro de zonas habilitado
Servidor FTP
vulcan
10.1.2.5
WebUI
1.
Bloqueo dentro de zonas
Network > Zones > Edit (para Trust): Introduzca los siguientes datos y haga
clic en OK:
Block Intra-Zone Traffic: (seleccione)
2.
Interfaces de la zona Trust
haga clic en Apply:
Zone Name: Trust
Interface Mode: NAT
192
haga clic en Apply:
Zone Name: Trust
Interface Mode: NAT
3.
Direccin
en OK:
Address Name: vulcan
Zona: Trust
4.
Directiva
Directivas > (De: Trust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Source Address:
Address Book Entry: (seleccione), vulcan
> Haga clic en Multiple, seleccione la casilla de verificacin Negate

Following; a continuacin, haga clic en OK para regresar a la pgina de
configuracin bsica Policy.
Service: FTP
Action: Permit
CLI
1.
Bloqueo dentro de zonas
set zone trust block

2.
Interfaces de la zona Trust

3.
Direccin
set address trust vulcan 10.1.2.5/32

4.
Directiva
set policy from trust to trust any !vulcan ftp permit

save
193
Modificacin y desactivacin de directivas

Una vez creada una directiva, puede volver a ella en cualquier momento para
efectuar modificaciones. En WebUI, haga clic en el vnculo Edit de la columna
Configure para elegir la directiva que desea cambiar. En la pgina de
configuracin Policy correspondiente a esa directiva, realice sus cambios y haga clic
en OK. En CLI, ejecute el comando set policy.
ScreenOS tambin proporciona un medio para habilitar e inhabilitar directivas. De
forma predeterminada, las directivas estn habilitadas. Para desactivarlas, haga lo
siguiente:
WebUI
Policies: Desactive la casilla de verificacin Enable de la columna Configure
para la directiva que desee desactivar.
La fila de texto de una directiva inhabilitada aparece en color gris.
CLI
set policy id id_num disable
save
NOTA:
Para volver a habilitar la directiva, seleccione Enable en la columna Configure

de la directiva que desee habilitar (WebUI), o escriba en el teclado unset policy
idid_num disable (CLI).
Verificacin de directivas
ScreenOS ofrece una herramienta para verificar si el orden de las directivas dentro
de la lista de directivas es vlido. Una directiva puede eclipsar (ocultar), otra
directiva. Considere el ejemplo siguiente:
set policy id 1 from trust to untrust any any HTTP permit
set policy id 2 from trust to untrust any dst-A HTTP deny
Como el dispositivo de seguridad consulta la lista de directivas comenzando por el

principio, deja de buscar tan pronto como encuentra una coincidencia de trfico
recibido. En el ejemplo antedicho, el dispositivo de seguridad nunca alcanza la
directiva 2 porque la direccin de destino any de la directiva 1 ya incluye la
direccin dst-A ms especfica de la directiva 2. Cuando un paquete HTTP llega al
dispositivo de seguridad desde una direccin en la zona Trust asociada a dst-A en la
zona Untrust, el dispositivo de seguridad siempre encontrar una coincidencia en la
directiva 1.
Para corregir el ejemplo antedicho, basta con invertir el orden de las directivas,
poniendo la ms especfica en primer lugar:
set policy id 2 from trust to untrust any dst-A HTTP deny
set policy id 1 from trust to untrust any any HTTP permit
194
Por supuesto, este ejemplo tan simple slo pretende ilustrar el concepto bsico. En
casos donde hay docenas o incluso centenares de directivas, la deteccin de
directivas eclipsadas por otras directivas puede no resultar tan sencilla. Para
comprobar si hay alguna directiva oculta en su lista de directivas, ejecute el
comando CLI siguiente:
exec policy verify
Este comando informa sobre las directivas ocultadas y sobre la ocultacin en

general. Es responsabilidad del administrador corregir la situacin.
NOTA:
El concepto de ocultacin de directivas se refiere al hecho de que una directiva

situada ms arriba en la lista de directivas siempre se encuentra antes que una
directiva situada ms abajo. Debido a que la consulta de directivas utiliza siempre
la primera directiva en la que detecta una coincidencia con el registro de cinco
elementos de las zonas de origen y de destino, con las direcciones de origen y
destino y con el tipo de servicio, si hay otra directiva aplicable al mismo registro (o
a un subconjunto de registros), la consulta de directivas utilizar la primera
directiva de la lista y nunca alcanzar la segunda.
La herramienta de verificacin de directivas no puede detectar los casos en los que
una combinacin de directivas oculta otra directiva. En el ejemplo siguiente,
ninguna directiva oculta la directiva 3; sin embargo, las directivas 1 y 2 juntas s la
ocultan:
set
set
set
set
set
group address trust grp1 add host1

group address trust grp1 add host2
policy id 1 from trust to untrust host1 server1 HTTP permit
policy id 2 from trust to untrust host2 server1 HTTP permit
policy id 3 from trust to untrust grp1 server1 HTTP deny
Reordenar directivas
El dispositivo de seguridad compara todos los intentos de atravesar el cortafuegos
con las directivas, comenzando por la primera que aparece en el conjunto de
directivas de la lista correspondiente (consulte Listas de conjuntos de directivas
en la pgina 167) y avanzando en la lista. Debido a que el dispositivo de seguridad
aplica la accin especificada en la directiva a la primera directiva que coincide en la
lista, es necesario reordenar las directivas desde la ms especfica a la ms general.
(Aunque una directiva especfica no impide la aplicacin de una directiva ms
general situada ms abajo en la lista, una directiva general situada ms arriba en la
lista que una especfica s lo impide).
De forma predeterminada, una directiva recin creada aparece al final de la lista de
conjuntos de directivas. Existe una opcin que permite colocar una directiva al
principio de la lista. En la pgina de configuracin Policy de WebUI, active la casilla
de verificacin Position at Top. En CLI, agregue la palabra clave top al comando set
policy: set policy top
Para mover una directiva a otra posicin dentro de la lista, ejecute cualquiera de los
195
WebUI
Hay dos maneras de reordenar directivas en WebUI: haciendo clic en las flechas
circulares o haciendo clic en la flecha nica de la columna Configure
correspondiente a la directiva que desee mover.
Si hace clic en las flechas circulares:
aparecer un cuadro de dilogo con un mensaje para el usuario.
Para mover la directiva al final de la lista, introduzca <-1>. Para moverla
hacia arriba en la lista, introduzca el nmero de identificacin de la
directiva que desea mover.
Haga clic en OK para ejecutar el movimiento.
Si hace clic en la flecha nica:
Aparecer la pgina Policy Move mostrando la directiva que desea mover
y una tabla mostrando las otras directivas.
En la tabla que muestra las otras directivas, la primera columna, Move
Location, contiene flechas sealando hacia las diversas ubicaciones a las
que puede mover la directiva. Haga clic en la flecha que apunte a la
ubicacin en la lista a la que desea mover la directiva.
La pgina Policy List reaparecer con la directiva movida en su nueva
ubicacin.
CLI
set policy move id_num { before | after } number
save
Eliminar una directiva

Adems de modificar y reubicar una directiva, tambin puede eliminarla. En
WebUI, haga clic en Remove en la columna Configure correspondiente a la
directiva que desea eliminar. Cuando el sistema le pida confirmacin para proceder
con la eliminacin, haga clic en Yes. En CLI, utilice el comando unset policy
id_num.
196
Captulo 7
Asignacin de trfico
Este captulo presenta las mltiples formas de utilizar un dispositivo de seguridad
de Juniper Networks para administrar el ancho de banda limitado sin comprometer
la calidad y disponibilidad de la red de cara a todos los usuarios. Contiene las
Administracin del ancho de banda a nivel de directivas en esta pgina
Ajuste de la asignacin de trfico en la pgina 198
Establecimiento de las prioridades del servicio en la pgina 202
Ajuste de las colas de prioridades en la pgina 203
Directivas de ingreso en la pgina 206
Asignacin de trfico en interfaces virtuales en la pgina 207
Asignacin y marcado DSCP en la pgina 217
Por asignacin de trfico se entiende la asignacin de la porcin apropiada del

ancho de banda disponible en la red a cada usuario y aplicacin en una
determinada interfaz. Por porcin de ancho de banda apropiada se entiende la
combinacin ptima entre capacidad de transmisin rentable y calidad de servicio
(Quality of Service o QoS) garantizada. Los dispositivos de seguridad permiten
configurar el trfico creando directivas y aplicando los controles de tasa de
transmisin apropiados a cada clase de trfico que pasa por ellos.
Administracin del ancho de banda a nivel de directivas

Para clasificar el trfico, cree una directiva y especifique el ancho de banda
garantizado, el ancho de banda mximo y la prioridad de cada clase de trfico. El
ancho de banda garantizado y el ancho de banda mximo no se basan
estrictamente en directivas sino, con mltiples interfaces fsicas en la zona de
salida, s se basan en el ancho de banda de la interfaz fsica de salida total y
directiva disponible. El ancho de banda fsico de cada interfaz se asigna al
parmetro de ancho de banda garantizado para todas las directivas. Cualquier
porcin de ancho de banda sobrante es compartible por cualquier otro trfico. Es
decir, cada directiva obtiene su ancho de banda garantizado y comparte la porcin
sobrante (no utilizada) basndose en la prioridad (hasta el lmite de la
especificacin de su ajuste de ancho de banda mximo), con todas las otras
directivas.
Administracin del ancho de banda a nivel de directivas
197
La funcin de asignacin de trfico es aplicable al trfico de todas las directivas. Si

desactiva la asignacin de trfico para una directiva especfica, pero mantiene
activada la asignacin de trfico para otras directivas, el sistema aplica una directiva
de asignacin de trfico predeterminada a esa directiva en particular, con los
parmetros siguientes:
NOTA:
Ancho de banda garantizado 0
Ancho de banda mximo ilimitado
Prioridad de 7 (el ajuste de prioridad ms bajo)
Puede habilitar una correspondencia de los niveles de prioridad al sistema

DiffServ Codepoint Marking. Para obtener ms informacin sobre DS Codepoint
Marking, consulte Asignacin de trfico en la pgina 178.
Si no desea que el sistema aplique esta directiva predeterminada a las directivas
para las que haya desactivado la asignacin de trfico, puede desactivar el sistema
de asignacin de trfico ejecutando el comando CLI: set traffic-shaping mode off.
Utilice el comando CLI: set traffic-shaping mode on para encender la opcin de
asignacin en una interfaz. O puede poner la asignacin de trfico en modo
automtico en la WebUI: Configuration > Advanced > Traffic Shaping. Esto
permite al sistema activar la asignacin de trfico cuando una directiva la requiera y
desactivarla cuando no la requiera.
Ajuste de la asignacin de trfico

En este ejemplo distribuir los 45 Mbps de ancho de banda de una interfaz T3 entre
tres departamentos de la misma subred. La interfaz ethernet1 est asociada a la
zona Trust y ethernet3 a la zona Untrust.
Figura 75: Asignar trfico
Zona Untrust
Zona Trust
T345 Mbps
Mercadeo: 10 Mbps de entrada, 10
Mbps de salida
Internet
Ventas: 5 Mbps de entrada, 10 Mbps
de salida
Support: 5 Mbps de entrada, 5 Mbps

de salida
198
Enrutador
Enrutador
DMZ para
servidores
Zona DMZ
Captulo 7: Asignacin de trfico
WebUI
1.
Ancho de banda en interfaces
haga clic en OK:
Traffic Bandwidth: 45000
NOTA:
Si no especifica los ajustes de ancho de banda de una interfaz, el dispositivo de

seguridad utilizar el ancho de banda fsico disponible.
haga clic en OK:
2.
Ancho de banda en directivas
clic en OK:
Name: Marketing Traffic Shaping
Source Address:
Address Book Entry: (seleccione), Marketing
Service: Any
Action: Permit
VPN Tunnel: Ninguna
NOTA:
Tambin puede habilitar la asignacin de trfico en directivas que hagan

referencia a tneles VPN.
Traffic Shaping: (seleccione)
Guaranteed Bandwidth: 10000
Maximum Bandwidth: 15000
clic en OK:
Name: Sales Traffic Shaping Policy
Source Address:
Address Book Entry: (seleccione), Sales
Service: Any
Action: Permit
199
clic en OK:
Name: Support Traffic Shaping Policy
Source Address:
Address Book Entry: (seleccione), Support
Service: Any
Action: Permit
Directivas > (De: Untrust, A: Trust) New: Introduzca los siguientes datos y haga
clic en OK:
Name: Allow Incoming Access to Marketing
Source Address:
Service: Any
Action: Permit
clic en OK:
Nombre: Allow Incoming Access to Sales
Source Address:
Service: Any
Action: Permit
Asignacin de trfico: (seleccione)
200
clic en OK:
Name: Allow Incoming Access to Support
Source Address:
Service: Any
Action: Permit
CLI
Para habilitar la asignacin de trfico por cada directiva, haga lo siguiente:
1.
set interface ethernet1 bandwidth 45000

NOTA:
Si no especifica los ajustes de ancho de banda de una interfaz, el dispositivo de

seguridad utilizar el ancho de banda fsico disponible.
2.
set policy name Marketing Traffic Shaping from trust to untrust marketing any
any permit traffic gbw 10000 priority 0 mbw 15000
set policy name Sales Traffic Shaping Policy from trust to untrust sales any any
permit traffic gbw 10000 priority 0 mbw 10000
set policy name Support Traffic Shaping Policy from trust to untrust support any
set policy name Allow Incoming Access to Marketing from untrust to trust any
marketing any permit traffic gbw 10000 priority 0 mbw 10000
set policy name Allow Incoming Access to Sales from untrust to trust any sales
set policy name Allow Incoming Access to Support from untrust to trust any
support any permit traffic gbw 5000 priority 0 mbw 5000
save
201
Establecimiento de las prioridades del servicio

La funcin de asignacin de trfico de los dispositivos de seguridad de Juniper
Networks permite gestionar mediante colas de prioridades el ancho de banda no
asignado al ancho de banda garantizado o ancho de banda garantizado no utilizado.
La gestin mediante colas de prioridades es una caracterstica que permite a todos
los usuarios y aplicaciones tener acceso al ancho de banda disponible cuando lo
necesiten, asegurando al mismo tiempo que el trfico importante pueda
transmitirse, incluso a expensas del trfico menos importante, si fuese necesario. La
gestin mediante colas permite al dispositivo de seguridad canalizar el trfico por
hasta ocho colas de prioridad diferentes. Estas ocho colas son:
High priority (alta prioridad)
2nd priority (2 prioridad)
3rd priority (3 prioridad)
4th Priority (4 prioridad)
7th priority (7 prioridad)
Low priority (baja prioridad, predeterminada)
El ajuste de prioridad de una directiva significa que el ancho de banda an no

garantizado a otras directivas se introduce en las colas dando preferencia a la alta
prioridad y luego a la baja. Las directivas que tengan el mismo ajuste de prioridad
competirn por el ancho de banda segn el mtodo denominado (round robin o
ronda recproca). El dispositivo de seguridad procesa primero todo el trfico de
todas las directivas de alta prioridad, para luego procesar el trfico del ajuste de
prioridad inmediatamente inferior, etctera, hasta haber procesado todas las
peticiones de trfico. Si las peticiones de trfico superan el ancho de banda
disponible, se descarta el trfico de menor prioridad.
PRECAUCIN: Tenga cuidado de no asignar un ancho de banda superior al
admitido por la interfaz. El proceso de configuracin de directivas no impide crear

configuraciones incompatibles de directivas. Podra llegar a perder datos si el
ancho de banda garantizado de directivas con la misma prioridad sobrepasa el
ancho de banda establecido en la interfaz.
Si no asigna ningn ancho de banda garantizado, puede utilizar la gestin de colas
de prioridades para administrar todo el trfico de su red. Es decir, todo el trfico de
alta prioridad se enva antes que cualquier trfico de 2 prioridad, etctera. El
dispositivo de seguridad procesa el trfico de baja prioridad nicamente despus de
haber procesado el resto del trfico.
202
Establecimiento de las prioridades del servicio
Ajuste de las colas de prioridades

En este ejemplo configurar el ancho de banda garantizado y mximo (en Mbps)
para tres departamentos: Support, Sales y Marketing, como se indica en Tabla 19:
Tabla 19: Configuracin del ancho de banda mximo
Trfico saliente
garantizado
Trfico
Trfico entrante combinado
garantizado
garantizado
Prioridad
Soporte
10
Alta
Ventas
2.5
3.5
Mercadeo
2.5
1.5
Total
10
10
20
Si los tres departamentos envan y reciben trfico simultneamente a travs de la

pared de fuego, el dispositivo de seguridad debe asignar 20 Mbps de ancho de
banda para satisfacer los requisitos de directivas garantizados. La interfaz ethernet1
est asociada a la zona Trust y ethernet3 a la zona Untrust.
Figura 76: Gestionar colas de prioridades
Zona Untrust
Zona Trust
T345 Mbps
Soporte: 5 Mbps de salida, 5 Mbps de entrada,
High Priority
Internet
Enrutador
Enrutador
Ventas: 2,5 Mbps de salida, 3,5 Mbps de
entrada, 2nd Priority
DMZ para
servidores
Zona DMZ
Mercadeo: 2,5 Mbps de salida, 1,5 Mbps de entrada, 3rd

Priority
WebUI
1.
Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic
en OK:
en OK:
203
2.
clic en OK:
Name: Sup-out
Source Address:
Service: Any
Action: Permit
Traffic Priority: High priority (alta prioridad)
DiffServ Codepoint Marking: (seleccione)
NOTA:
Differentiated Services (DS) es un sistema para etiquetar (o marcar) trfico

en una posicin dentro de una jerarqua de prioridades. DS Codepoint Marking
establece una correspondencia entre el nivel de prioridad de ScreenOS en la
directiva y los tres primeros bits de codepoint en el campo DS del encabezado de
paquetes IP. Para obtener ms informacin sobre DS Codepoint Marking, consulte
Asignacin de trfico en la pgina 178.
clic en OK:
Name: Sal-out
Source Address:
Service: Any
Action: Permit
Traffic Priority: 2nd priority (2 prioridad)
DiffServ Codepoint Marking: Enable
clic en OK:
Name: Mar-out
Source Address:
Service: Any
Action: Permit
204
Traffic Priority: 3rd priority (3 prioridad)
clic en OK:
Nombre: Sup-in
Source Address:
Service: Any
Action: Permit
Traffic Priority: High priority (alta prioridad)
clic en OK:
Name: Sal-in
Source Address:
Service: Any
Action: Permit
Traffic Priority: 2nd priority (2 prioridad)
clic en OK:
Name: Mar-in
Source Address:
Service: Any
Action: Permit
205
Traffic Priority: 3rd priority (3 prioridad)
CLI
1.

2.
set policy name sup-out from trust to untrust support any any permit traffic gbw
5000 priority 0 mbw 40000 dscp enable
set policy name sal-out from trust to untrust sales any any permit traffic gbw 2500
priority 2 mbw 40000 dscp enable
set policy name mar-out from trust to untrust marketing any any permit traffic gbw
set policy name sup-in from untrust to trust any support any permit traffic gbw
set policy name sal-in from untrust to trust any sales any permit traffic gbw 3500
priority 2 mbw 40000 dscp enable
set policy name mar-in from untrust to trust any marketing any permit traffic gbw
save
Directivas de ingreso
Las directivas de ingreso controlan el trfico en el lado de entrada del dispositivo de
seguridad. Al restringir el flujo de trfico en el punto de ingreso, el trfico supera el
ajuste del ancho de banda se descarta mediante un procesamiento mnimo,
conservando los recursos del sistema. Las directivas de ingreso se pueden
configurar en el nivel de la interfaz y en las directivas de seguridad.
Las directivas de ingreso se configuran en una interfaz al ajustar el ancho de banda
mximo (la palabra clavembw ). El siguiente comando, por ejemplo, limita el ancho
de banda en Ethernet1 y la interfaz de entrada a 22 Mbps:
set interface ethernet1 bandwidth ingress mbw 22000
El trfico entrante en ethernet1 que supera este ancho de banda se descarta. Si

ajusta la asignacin de trfico en la interfaz, tambin debe activar el comando set
traffic-shaping mode (set traffic-shaping mode on).
Para aplicar las directivas de ingreso en una aplicacin especfica, sin embargo, se
requiere una directiva. El siguiente comando crea una directiva llamada my_ftp que
establece el lmite del ancho de banda FTP en el lado de entrada del dispositivo de
seguridad a 10 Mbps:
set policy my_ftp from untrust to trust any any ftp permit traffic pbw 10000
206
Directivas de ingreso
Se descarta el trfico FTP entrante que supera el ancho de banda de las directivas
configuradas (la palabra clave es pbw). Tambin puede ajustar el mbw en la
directiva, pero el nivel de directiva mbw se aplica nicamente en el lado de entrada
de flujo de trficoel trfico que supera la tasa configurada tambin se procesa y se
descarta nicamente en el lado de salida (consulte Figura 78, Flujo de paquetes de
asignacin de trfico, en la pgina 210). En una directiva se puede configurar mbw
o pbw, pero no las dos.
La configuracin y el refuerzo de las directivas de ingreso en interfaces virtuales es
la misma que se utiliza en las interfaces fsicas, con la nica excepcin que tambin
puede configurar el ancho de banda garantizado (la palabra clave es gbw) en
interfaces virtuales (consulte Asignacin del trfico a nivel de directiva en la
pgina 209). En interfaces fsicas, el ancho de banda garantizado es el mismo que
el ancho de banda mximo.
NOTA:
Las directivas de ingreso en interfaces de tnel se refuerza despus que el motor

VPN desencripta los paquetes encriptados.
Asignacin de trfico en interfaces virtuales

En el contexto de la asignacin de trfico, el trmino interfaces virtuales se refiere
nicamente a las subinterfaces y a las interfaces de tnelno a otra clase de
interfaces virtuales, como interfaces de seguridad virtual (VSI) o interfaces
redundantes o agregadas. No se pueden configurar los parmetros de asignacin en
directivas que se crearon en un vsys. De forma similar, el ancho de banda no se
puede asignar en las interfaces que son propiedad (que hered) de un usuario de
vsys creado. Para obtener ms informacin, consulte Volumen 10:
Sistemas virtuales.
La asignacin de trfico (a diferencia de las polticas de ingreso) se relaciona con la
administracin de trfico en el lado de entrada del dispositivo de seguridad. De
igual forma que con las interfaces fsicas, el trfico en interfaces se configura al
ajustar los valores del ancho de banda en el nivel de la interfaz y en las directivas.
Asignacin del trfico a nivel de interfaz

La configuracin al nivel de interfaz es el control de la tasa mnima y mxima del
flujo de trfico en una interfaz especfica. El ancho de banda mnimo se controla al
especificar un ancho de banda garantizado (gbw). Lo que significa que lo dems
que suceda en el dispositivo no tiene importancia, esta tasa mnima se garantiza
segn el trfico apropiado. El ancho de banda mximo (mbw) que se ajust,
establece la tasa de trfico que nunca se puede exceder. De forma predeterminada,
el ancho de banda mximo en una interfaz fsica es la capacidad de transmisin de
la interfaz, por lo tanto, no es posible ajustar el ancho de banda garantizado en la
interfaz fsica.
207
En el contexto de la asignacin de trfico, una interfaz identifica subinterfaces

asociadas a interfaces fsicas y, por extensin, las interfaces de tnel asociadas a
esas subinterfacescreando de esta forma una jerarqua de interfaces. Una
subinterfaz asociada a una interfaz fsica se dice que es la hija de la interfaz fsica,
su padre. En consecuencia, una interfaz de tnel asociada a una interfaz es la hija de
una subinterfaz, la interfaz fsica como su abuela. Figura 77 ilustra estas
dependencias.
Figura 77: Jerarqua de interfaces
Ethernet1
mbw 10000
Interfaces virtuales
Ethernet1.1
gbw 5000 - mbw 7000
Ethernet 1.2
gbw 2000 - mbw 5000
Tunnel.1
Tunnel.2
Tunnel.1
gbw 2000 - mbw 3000
Tunnel.2
gbw 2000 - mbw 3000
Tunnel.3
Tunnel.4
Cuando se trabaja con interfaces virtuales, hay que tener presentes las siguientes
reglas sobre jerarquas de interfaces:
208
El ancho de banda que se asign a las subinterfaces no puede ser mayor que la
capacidad de transmisin de la interfaz fsica a la que est asociado. En la
Figura 77, por ejemplo, la combinacin de gbw de ethernet1.1 y ethernet 1.2
es 9000 Kbps, 1000 Kbps por abajo del mbw de ethernet1. Observe que, sin
embargo, el ancho de banda mximo combinado de estas dos subinterfaces
supera la capacidad de transmisin de la interfaz fsica a la que se asocian por
2000 Kbps. Lo que es aceptable, ya que la palabra clave mbw se utiliza
nicamente para limitar el trfico a una taza mxima. Si el trfico se encuentra
abajo del ajuste mximo en una subinterfaz, dicho ancho de banda est
disponible para cualquier otra subintefaz asociada a la misma interfaz fsica.
El ancho de banda que se asign a las interfaces de tnel no puede ser mayor
que el ancho de banda garantizado de la subinterfaz a la que est asociado.
Si el ancho de banda garantizado no se configura para el padre inmediato, el

ancho de banda se toma de la interfaz que acta como abuelo
El ancho de banda garantizado total de las interfaces que actan como hijas
no pueden superar el ancho de banda garantizado del padre.
El ancho de banda mximo del hijo no puede superar el ancho de banda

mximo del padre.
Como ya se indic, no es posible configurar el ancho de banda garantizado en

interfaces fsicas debido a que el ancho de banda garantizado es el mismo ancho de
banda mximo, que es la velocidad de los enlaces de la interfaz. En interfaces
virtuales, sin embargo, es posible configurar la salida de gbw y mbw. Tambin es
posible configurar la entrada de mbw, que es la directiva de entrada en el nivel de la
interfaz. El siguiente comando garantiza una tasa saliente mnima de bit de 2000
Kbps en Ethernet4.1 y una tasa mxima, las dos de entrada y salida, de 2000 Kbps:
set interface ethernet4.1 bandwidth egress gbw 1000 mbw 2000 ingress mbw
2000
Se ajusta el ancho de banda en la WebUI en la pgina de > edicin de >

interfaces de red.
Despus de ajustar el ancho de banda, se puede utilizar el comando get
traffic-shaping interface para observar el ancho de banda actual que fluye a travs
del dispositivo de seguridad. Por ejemplo, es posible que el trfico entre en
ethernet1 y salga en ethernet3. Si se ajust el ancho de banda de entrada en
ethernet1, el comando get traffic-shaping interface ethernet3 mostrar el
rendimiento real en el dispositivo.
Si ajusta la asignacin de trfico en la interfaz, tambin debe activar el comando set
traffic-shaping mode (set traffic-shaping mode on).
Asignacin del trfico a nivel de directiva

Se asigna el trfico al nivel de directiva para asignar el ancho de banda para tipos
determinados de trfico. El siguiente comando garantiza un ancho de banda
mnimo de 1Mbps para el trfico FTP y descarta todo el trfico que supera los 2
Mbps:
set policy my_ftp from untrust to trust any any ftp permit traffic pbw 1000
Observe que este comando utiliza la palabra clave del ancho de banda de las
directivas (pbw). En una directiva se puede utilizar pbw o mbw, pero no las dos. El
beneficio de utilizar pbw es que el trfico se descarta en el lado de entrada del
dispositivo de seguridad, reduciendo el procesamiento de rendimiento y
conservando los recursos del sistema. (Consulte Directivas de ingreso en la
pgina 206).
En la WebUI, despus de crear una directiva, haga clic en el botn Advanced para
configurar los parmetros de asignacin de trfico.
Aunque debe ajustar el modo de asignacin de trfico a encendido para asignar el
trfico en las interfaces, no es necesario encender la asignacin del trfico cuando
se asigna el trfico en las directivas. Esto se debe a que el modo de asignacin de
trfico se ajusta a auto predeterminadamente. Cuando una sesin se activa y una
consulta de directivas descubre la asignacin de trfico, ScreenOS activa la
asignacin de trfico para dicha sesin. Se puede ajustar o no el modo de
asignacin de trfico a auto nicamente en la WebUI: Configuration > Advanced
> Traffic Shaping.
209
Flujo de paquetes
La Figura 78 ilustra la parte del flujo de paquetes a travs del dispositivo de
seguridad que afecta la asignacin del trfico y las directivas. (Consulte Secuencia
de flujo de paquetes en la pgina 11 para obtener una ilustracin completa del flujo
de paquetes). Los paquetes que superan el pbw (o el mbw configurado en la
interfaz) se descartan en el paso 9; la asignacin y marcado de DSCP se lleva a cabo
en el paso 10 y los paquetes que superan el mbw (configurado en una directiva) se
descarta en el paso 11.
Figura 78: Flujo de paquetes de asignacin de trfico
Paquete
entrante
Crear
sesin
Directivas
(si est habilitado)
10
11
Tareas programadas
Tabla de sesiones
d 977 vsys id 0, flag 000040/00,
pid -1, did 0, time 180
13 (01) 10.10.10.1/1168 ->
211.68.1.2/80, 6, 002be0c0066b,
subif 0, tun 0
Interfaz de entrada La forma y DSCP marcan

el paquete, luego lo
coloca en cola en la
Directiva
interfaz de salida
Contine con todas las interfaces de

salida en el dispositivo y los paquetes
de transmisin en la configuracin
Ejemplo: VPN basada en rutas con directivas de ingreso

Este ejemplo ilustra cmo reforzar las directivas de ingreso en el nivel de interfaz
para el trfico encriptado. Las directivas de ingreso se configuran en la subinterfaz
(e2.1, ancho de banda mximo:1200 Kbps) y en la interfaz de tnel (t.1, ancho de
banda mximo:1000 Kbps). La tasa de directivas en la subinterfaz que se ajust
debe ser mayor que en la interfaz de tnel asociada a la misma para permitir el
nivel mximo de encriptacin (asumiendo, en este ejemplo, que todo el trfico que
se recibe en la subinterfaz est destinado a la interfaz de tnel). Las directivas en la
subinterfaz se aplican a los paquetes encriptados, mientas las directivas en la
interfaz de tnel se aplican a los paquetes internos desencriptados. Todo el trfico
encriptado sobre 1200 Kbps en e2.1 se descarta. Y todo el trfico (texto no cifrado)
desencriptado sobre 1000 Kbps. en la interfaz t.1 se descarta.
Figura 79: VPN basadas en rutas:
San Francisco
Dispositivo1
e2
e2
e2.1, 2.2.2.1/24
e1, 10.1.1.1/24
e2.1, 2.2.2.2/24
Subinterfaces
t.1
Interfaces de tnel
New York
Dispositivo2
e1, 10.2.0.2/24
t.1
Clientes
Servidor
Zona Trust
210
Zona Trust
WebUI (Configuracin para el Device1)

1.
Interfaces
haga clic en OK:
Zona: Trust
Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Interface Name: (Seleccione) ethernet2 y escriba: 1
Zone: Untrust
VLAN Tag: 128
clic en Apply:
Tunnel Interface Name: 1
Zone: Untrust
Unnumbered (seleccione) ethernet2.1
Interface: e2.1
2.
Ruta
Interface (seleccione): Tunnel.1
3.
IKE
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos
y haga clic en OK:
Gateway Name: device1_ike
Security Level: Standard
Remote Gateway Type:
Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2
Clave previamente compartida
Preshared Key: Secreto

Outgoing Interface: e2.1
VPN > AutoKey IKE New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: device1_vpn
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en

Return para regresar a la pgina de configuracin bsica de AutoKey IKE:
Bind to: (Seleccione) Interfaz de tnel, (seleccione) tunnel.1
211
CLI (Configuracin para el Device1)

1.
Interfaces
set interface e1 zone trust

set interface e1 ip 10.1.1.1/24
set interface e2.1 tag 128 zone untrust
set interface t.1 zone trust
set interface e2.1 ip 2.2.2.1/24
set interface t.1 ip unnumbered interface e2.1
set route 10.2.0.0/24 int t.1
2.
IKE
set ike gateway device1_ike address 2.2.2.2 outgoing-interface e2.1 preshare

sec-level standard
set vpn device1_vpn gateway 208a_ike sec-level standard
set vpn device1_vpn bind interface t.1

1.
Interfaces
haga clic en OK:
Zona: Trust
Network > Interfaces > Sub-IF > New: Introduzca los siguientes datos y haga
clic en Apply:
Interface Name: (Seleccione) ethernet2 y escriba: 1
Zone: Untrust
VLAN Tag: 128
Network > Interfaces > Tunnel IF > New: Introduzca los siguientes datos y
haga clic en Apply:
Tunnel Interface Name: 1
Sin numerar (seleccione) ethernet2.1
Interfaz: e2.1
2.
Network > Interfaces > Edit (para ethernet2.1): Introduzca los siguientes
Traffic Bandwidth, Ingress: 1200
Network > Interfaces > Edit (para tunnel.1): Introduzca los siguientes datos y
haga clic en OK:
Traffic Bandwidth, Ingress: 1000
3.
Ruta
Interface (seleccione): Tunnel.1
212
4.
IKE
y haga clic en OK:

Outgoing Interface: e2.1

Return para regresar a la pgina de configuracin bsica de AutoKey IKE:
Bind to: (Seleccione) Interfaz de tnel, (seleccione) tunnel.1
5.
Directivas
Directivas > (From: Trust, A: Untrust) New: Introduzca los siguientes datos y
haga clic en OK:
Service: Any
Action: Permit
Directivas > (From: Untrust, A: Trust) New: Introduzca los siguientes datos y
haga clic en OK:
Service: Any
Action: Permit

1.
Interfaces
set interface e1 zone trust

set interface e1 ip 10.2.0.2/24
set interface e2.1 tag 128 zone untrust
set interface e2.1 ip 2.2.2.2/24
set interface t.1 zone untrust
set interface t.1 ip unnumbered interface e2.1
set route 10.1.1.0/24
2.
set interface e2.1 bandwidth ingress mbw 1200

set interface t.1 bandwidth ingress mbw 1000
3.
IKE
set ike gateway device2_ike address 2.2.2.1 preshare secret sec-level standard
set vpn device2_vpn gateway 208b_ike sec-level standard
set vpn device2_vpn bind interface t.1
4.
Directiva

set policy from untrust to trust any any any permit
213
Ejemplo: VPN basada en directivas con directivas de ingreso

En este ejemplo se ilustra cmo reforzar las directivas de ingreso en el nivel de
interfaz y en las directivas. En la interfaz ethernet1 en el Device1, se ajust el ancho
de banda mximo a 20000 Kbps. Con este ajuste, todo el trfico sobre 20000 Kbps
de los clientes conectados al Device1 en la interfaz ethernet1, se descarta. Las
directivas de ingreso en la interfaz se aplican a todo el trfico que llega a dicha
interfaz. Para obtener una granularidad ms fina, se pueden aplicar las directivas de
ingreso en el nivel de directivas. En este ejemplo, se pueden crear directivas para
restringir todo el trfico de ingreso de protocolo FTP en el Device1 al crear directivas
entre las zonas Trust y Untrust y al ajustar el ancho de banda de las directivas a
5000 Kbps. Todo el trfico FTP sobre 5000 Kbps de la zona Trust a la zona Untrust
se descarta.
Figura 80: VPN basadas en directivas
San Francisco
New York
Dispositivo1
Dispositivo2
e2, 2.1.1.1
e1, 10.1.1.1.1
e2, 10.2.2.1
e1, 1.1.1.2
Clientes
Servidor
Zona Trust
Zona Trust

1.
Interfaces
haga clic en OK:
Zone: Trust
Interface mode: (seleccione) NAT
haga clic en OK:
Zone: Untrust
Modo de interfaz: (seleccione) Route
2.
VPN IKE
y haga clic en OK:
214

Outgoing Interface: ethernet2
> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en OK
para regresar a la pgina de configuracin bsica de Gateway:
Phase 1 Proposal: pre-g2-3des-sha
3.
Directivas basadas en interfaces
haga clic en OK:
Ancho de Bandwidth de ingreso: 20000
4.
Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
Network IP Address/Netmask: 10.2.1.0/24
Interface: (seleccione) ethernet2
5.
Directivas
haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device2_vpn
Modify matching bidirectional VPN policy: (seleccione)

Return para regresar a la pgina de configuracin bsica de directiva:
Asignacin de trfico (seleccione) ancho de banda de directivas: 5000

1.
Interfaces

2.
VPN IKE
set ike gateway device2_ike address 2.2.2.2 main outgoing interface ethernet2
preshare secret proposal pre-g2-3des-sha
set vpn device2_vpn gateway device2_ike no-replay tunnel idletime 0 sec-level
standard
215
3.
Enrutamiento
set route 10.2.1.0/24 interface ethernet2 gateway 2.2.2.2

4.
Directivas
set policy from trust to untrust any any ftp tunnel vpn device2_vpn pair-policy 2
traffic pbw 5000
set policy from untrust to trust any any ftp tunnel vpn netscreeen2_vpn pair-policy
1 traffic pbw 5000
5.
Directivas basadas en interfaces
set interface ethernet1 bandwidth ingress mbw 20000

1.
Interfaces
haga clic en OK:
Zone: Trust
Interface mode: (seleccione) Route
haga clic en OK:
Zone: Untrust
Modo de interfaz: (seleccione) NAT
2.
VPN IKE
y haga clic en OK:

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en OK

para regresar a la pgina de configuracin bsica de Gateway:
Phase 1 Proposal: pre-g2-3des-sha
3.
Enrutamiento
Network > Routing > Destination > New: Introduzca los siguientes datos y
haga clic en OK:
216
Network IP Address/Netmask: 10.1.1.0/24

Interfaz: (seleccione) ethernet2
4.
Directivas
haga clic en OK:
Name: 1
Service: FTP
Action: Tunnel
Tunnel VPN: (seleccione), device1_vpn
Modify matching bidirectional VPN policy: (seleccione)

1.
Interfaces
set
set
set
set
2.
interface ethernet1 1.1.1.2/24

interface ethernet1 route
interface ethernet2 ip 10.2.2.1/24
interface ethernet2 nat
VPN IKE
set ike gateway device1_ike address 2.1.1.1 main outgoing interface ethernet2
preshare secret proposal pre-g2-3des-sha
set vpn device1_vpn gateway device1_ike no-replay tunnel idletime 0 sec-level
standard
3.
Enrutamiento
set route 10.1.1.0/24 interface ethernet1 gateway 1.1.1.1

4.
Directivas
set policy id 1 from trust to untrust any any ftp tunnel vpn device1_vpn pair-policy 2
set policy id 2 from untrust to trust any any ftp tunnel vpn device1_vpn pair-policy 1
Asignacin de trfico utilizando una interfaz Loopback

La asignacin de trfico no se admite en las interfaces loopback, debido a que en
realidad no se transmite ningn trfico en una interfaz loopback. Sin embargo, una
interfaz loopback se utiliza con frecuencia como un punto de anclaje (por ejemplo
en el caso de una VPN, para derivar la direccin IP de origen), mientras los datos se
transmiten en una interfaz de salida real. Cuando se utiliza una interfaz loopback en
una VPN, por consiguiente, configura la asignacin de trfico en la interfaz de
salida. Entonces, ScreenOS asocia la sesin con la interfaz de salida real, que sta
deduce de la tabla de enrutamiento, actualizando de forma dinmica la asociacin
como los cambios de la tabla de enrutamiento.
Asignacin y marcado DSCP

Es posible asignar el trfico en una directiva que utilice el marcado DSCP o se
puede utilizar el marcado DSCP independiente de la asignacin del trfico. La
asignacin del trfico controla la forma en que el trfico se procesa en el dispositivo
de seguridad y se puede configurar en el nivel de interfaz o en las directivas. El
marcado DSCP, que se ajust en el nivel de directivas, controla cmo los
enrutadores descendentes procesan el trfico.
Asignacin de trfico utilizando una interfaz Loopback
217
Si activa el marcado DSCP pero no se ajusta un valor, ScreenOS asigna la prioridad

de directivas a una prioridad de preferencia de IP equivalente en el sistema DSCP.
Lo que se realiza al volver a escribir los primeros tres bits en el byte ToS con la
prioridad de preferencia de IP. Por ejemplo, si se cre una directiva que proporciona
a todo el trfico una prioridad de, por ejemplo, 2 (0 es la prioridad ms alta) y se
activa el marcado DSCP, ScreenOS encola el trfico para dicha directiva con una
prioridad de nivel 2 en la interfaz de salida y la marca con una prioridad de
preferencia de IP equivalente. El siguiente comando crea una directiva que
proporciona una prioridad 2 a todo el trfico y activa el marcado DSCP:
set policy from trust to untrust any any any permit traffic priority 2 dscp enable
Pero si a DSCP se le proporciona un dscp-byte de valor de, por ejemplo, 46 (la

prioridad ms alta), el dispositivo de seguridad an encola el trfico en la interfaz
de salida en la prioridad 2 pero sobrescribe los primeros 6 bits del byte ToS con el
valor DSCP.
set policy from trust to untrust any any any permit traffic priority 2 dscp enable
value 46
El marcado DSCP se admite en todas las plataformas y se pueden configurar por

medio de la asignacin de trfico o de forma independiente. Las tablas que se
presentan a continuacin muestran cmo funciona el marcado DSCP con las
diferentes plataformas.
Tabla 20: Marcado DSCP para el trfico de texto no cifrado
Hardware Security Client
NetScreen-5XT,
NetScreen-5GT, NetScreen
25/50,
NetScreen-204/208,
NetScreen 500
Serie NetScreen-5000, ISG

1000, ISG 2000
Desactive el paquete sin

ningn marcado en las
directivas.
Sin marcado.
Sin marcado.
Borre el paquete con marcado

en las directivas.
El paquete se marc con base

en las directivas.
El paquete se marc con base

en las directivas.
Descripcin
218
Paquete marcado previamente Mantenga el marcado en el

sin ningn marcado en las
paquete.
directivas.
Mantenga el marcado en el
paquete.
Paquete marcado previamente Sobrescriba el marcado en el

con marcado en las directivas. paquete con base en las
directivas.
Sobrescriba el marcado en el
paquete con base en las
directivas.
Tabla 21: Marcado DSCP para VPN basadas en directivas

NetScreen-5XT,
25/50,
NetScreen-204/208,
NetScreen 500

1000, ISG 2000
Borre el paquete de la VPN

basada en directivas sin
ningn marcado en las
directivas.
Sin marcado.
Sin marcado.

basada en directivas con
marcado en las directivas.
nicamente el encabezado
ESP se marc, con base en las
directivas.
nicamente el encabezado
ESP se marc, con base en las
directivas.
Marque previamente el
paquete de la VPN basada en
directivas sin ningn marcado
en las directivas.
El encabezado ESP no se
marc, mantenga el marcado
en el paquete interno.
directivas con marcado en las
directivas.
El encabezado ESP se marc,

con base en las directivas,
mantenga el marcado en el
paquete interno.
El encabezado ESP se marc,

con base en las directivas,
espacio interno.
Descripcin
Tabla 22: Marcado DSCP para VPN basadas en rutas

NetScreen-5XT,
-25/50,
NetScreen-204/208,
NetScreen -500

1000, ISG 2000

basada en rutas sin ningn
marcado en las directivas.
Sin marcado.
Sin marcado.

basada en rutas con marcado
en las directivas.
El paquete interno y el
encabezado ESP se marcaron,
con base en las directivas.
El paquete interno se marca,

con base en las directivas. El
encabezado ESP no se marc.
rutas sin ningn marcado en
las directivas.
Copie el marcado del paquete

interno en el encabezado ESP,
paquete interno.
rutas con marcado en las
directivas.
paquete interno con base en
las directivas y copie el
marcado del paquete interno
en el encabezado ESP.
paquete interno, con base en
las directivas. El encabezado
ESP no se marc.
Descripcin
219
220
Captulo 8
Parmetros del sistema

Este captulo se centra en los conceptos relativos a la configuracin de los
parmetros del sistema que afectan a las siguientes reas de un dispositivo de
seguridad. Contiene las siguientes secciones:
Compatibilidad con DNS (sistema de nombres de dominio) en esta pgina
Protocolo de configuracin dinmica de hosts en la pgina 229
Protocolo punto a punto sobre Ethernet en la pgina 245
Claves de licencia en la pgina 253
Registro y activacin de los servicios de suscripcin en la pgina 254
Reloj del sistema en la pgina 256
Compatibilidad con DNS (sistema de nombres de dominio)

El dispositivo de seguridad de Juniper Networks es compatible con el sistema de
nombres de dominio (Domain Name System o DNS), que le permite utilizar
tanto nombres de dominios como direcciones IP para identificar las ubicaciones de
una red. Un servidor DNS mantiene una tabla de direcciones IP asociadas a los
correspondientes nombres de dominio. DNS permite referirse a una ubicacin por
medio de su nombre de dominio (como www.juniper.net), adems de utilizar la
correspondiente direccin IP enrutable, que en el caso de www.juniper.net es
207.17.137.68. Todos los programas siguientes pueden realizar traduccin de DNS:
Address Book (libreta de direcciones)
Syslog
Correo electrnico
WebTrends
Websense
LDAP
SecurID
Compatibilidad con DNS (sistema de nombres de dominio) 221
RADIUS
NetScreen-Security Manager
Antes de poder utilizar DNS para la resolucin de nombres de dominio y

direcciones, deben introducirse las direcciones de los servidores DNS (principal,
secundario y terciario) en el dispositivo de seguridad.
NOTA:
Para habilitar el dispositivo de seguridad como servidor del protocolo de

configuracin dinmica de hosts (Dynamic Host Configuration Protocol o
DHCP) (consulte Protocolo de configuracin dinmica de hosts en la
pgina 229), tambin deber introducir las direcciones IP de los servidores DNS
en la pgina DHCP de WebUI o mediante el comando CLI set interface interface
dhcp.
Consulta DNS
El dispositivo de seguridad actualiza todas las entradas de su tabla DNS
comprobndolas en un servidor DNS especificado en los momentos siguientes:
Al producirse una conmutacin por error de HA (alta disponibilidad)
A una hora determinada y a intervalos regulares programados a lo largo del da
Cuando se ordena manualmente al dispositivo realizar una consulta DNS
WebUI: Network > DNS: Haga clic en Refresh DNS cache.
CLI: exec dns refresh
Adems del mtodo existente de establecer una hora para la actualizacin diaria y
automtica de la tabla DNS, tambin puede definir un intervalo de tiempo entre 4 y
24 horas.
NOTA:
Cuando se agrega un nombre de dominio completo (Fully-Qualified Domain

Name o FQDN), como una direccin o una puerta de enlace IKE, mediante
WebUI, el dispositivo de seguridad lo resuelve al hacer clic en Apply o en OK.
Cuando se escribe un comando CLI que hace referencia a un FQDN, el dispositivo
de seguridad intenta resolverlo en el momento de introducirlo.
Cuando el dispositivo de seguridad se conecta al servidor DNS para resolver una
asignacin de nombre de dominio o direccin IP, almacena esa entrada en su tabla
de estado de DNS. La lista siguiente contiene algunos de los detalles implicados en
una consulta DNS:
222
Cuando una consulta DNS devuelve varias entradas, la libreta de direcciones

acepta todas. Los otros programas enumerados en la pgina 221 solamente
aceptan la primera.
El dispositivo de seguridad vuelve a instalar todas las directivas si detecta

cualquier cambio en la tabla de nombres de dominios en el momento en que el
Captulo 8: Parmetros del sistema
usuario actualiza una consulta con el botn Refresh de WebUI o ejecuta el

comando CLI exec dns refresh.
Cuando falla un servidor DNS, el dispositivo de seguridad vuelve a consultar la

tabla entera.
Cuando falla una consulta, el dispositivo de seguridad la elimina de la tabla

cach.
Si la consulta del nombre de dominio falla al agregar direcciones a la libreta de

direcciones, el dispositivo de seguridad muestra un mensaje de error indicando
que la direccin fue agregada con xito, pero la consulta del nombre DNS fall.
El dispositivo de seguridad debe realizar una nueva consulta cada da, que se puede
programar en el mismo para que la realice a una hora determinada:
WebUI
Network > DNS: Introduzca los siguientes datos y haga clic en Apply:
Actualizacin de DNS cada da a las: Seleccione la casilla de verificacin e
introduzca la hora <hh:mm>
CLI
set dns host schedule time_str
Tabla de estado de DNS

La tabla de estado de DNS comunica todos los nombres de dominios consultados,
sus correspondientes direcciones IP, si la consulta se efectu con xito y cundo se
resolvi por ltima vez cada nombre de dominio o direccin IP.
Figura 81: Tabla de estado de DNS
Nombre
Direccin IP
Estado
ltima bsqueda
www.yahoo.com
204.71.200.74
204.71.200.75
204.71.200.67
204.71.200.68
209.185.151.28
209.185.151.210
216.32.228.18
xito
8/13/2000 16:45:33
xito
8/13/2000 16:45:38
www.hotbot.com
Para visualizar la tabla de estado de DNS, ejecute cualquiera de los siguientes

procedimientos:
WebUI
Network > DNS > Show DNS Table
CLI
get dns host report
Ajuste del servidor DNS y programacin de actualizaciones

Para implementar la funcionalidad de DNS, se introducen en el dispositivo de
seguridad las direcciones IP de los servidores DNS en 24.1.64.38 y 24.0.0.3,
protegiendo un host nico de una oficina domstica. El dispositivo de seguridad se
programa para actualizar los ajustes de DNS almacenados en su tabla de estado de
DNS diariamente a las 23:00 horas.
Figura 82: Actualizacin de DNS
Zona Trust
Zona Untrust
Servidor DNS
secundario 24.1.64.38
Servidor DNS
principal 24.0.0.3
Internet
WebUI
Primary DNS Server: 24.0.0.3
Secondary DNS Server: 24.1.64.38
DNS Refresh: (seleccione)
Every Day at: 23:00
CLI
set dns host dns1 24.0.0.3
set dns host dns2 24.1.64.38
set dns host schedule 23:00
save
Establecer un intervalo de actualizacin de DNS

En este ejemplo configurar el dispositivo de seguridad para actualizar su tabla DNS
cada 4 horas, comenzando a las 00:01 de cada da.
WebUI
DNS Refresh: (seleccione)
Every Day at: 00:01
Interval: 4
CLI
set dns host schedule 00:01:00 interval 4
save
Sistema de nombres de dominio dinmico

El sistema de nombres de dominio dinmico (DDNS) es un mecanismo que permite
a los clientes actualizar dinmicamente las direcciones IP correspondientes a
nombres de dominio registrados. Esta actualizacin es til cuando un ISP utiliza
PPP, DHCP o XAuth para modificar dinmicamente la direccin IP de un enrutador
224
CPE (como un dispositivo de seguridad) que proteja un servidor web. Los clientes
procedentes de Internet pueden acceder el servidor web usando un nombre de
dominio, aunque la direccin IP del enrutador CPE haya cambiado previamente.
Este cambio es posible gracias a un servidor DDNS como dyndns.org o ddo.jp, que
contienen las direcciones cambiadas dinmicamente y sus nombres de dominio
asociados. El CPE actualiza los servidores DDNS con esta informacin,
peridicamente o en respuesta a cambios de direcciones IP.
Para utilizar DDNS, cree una cuenta (nombre de usuario y contrasea) en el
servidor DDNS. El servidor utiliza esta informacin de cuenta para configurar el
dispositivo cliente.
Figura 83: DNS dinmico
Servidor web
www.my_host.com
Cliente
Dispositivo de
seguridad
Zona Trust
Internet
Servidor DDNS
ethernet7
dyndns.org or ddo.jp
En la Figura 83, la direccin IP de la interfaz ethernet7 puede haber cambiado.

Cuando se produce algn cambio, el cliente todava puede acceder al servidor web
protegido indicando el nombre de host (www.my_host.com), a travs del servidor
de dyndns.org o del servidor de ddo.jp. Cada uno de estos servidores requiere
configuraciones diferentes en el dispositivo de seguridad.
Configuracin del DDNS para un servidor DynDNS

En el ejemplo siguiente configurar un dispositivo de seguridad para operar con
DDNS. El dispositivo utiliza el servidor dyndns.org para resolver direcciones
cambiantes. Para este servidor, especificar el host protegido utilizando el ajuste
Host Name, asociado explcitamente a la interfaz DNS (ethernet7). Cuando el
dispositivo enva una actualizacin al servidor de ddo.jp, asocia el Host Name a la
direccin IP de la interfaz.
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 12
Server Settings
Server Type: dyndns
Server Name: dyndns.org
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings
Username: swordfish
Password: ad93lvb
Bind to Interface: ethernet7

Host Name: www.my_host.com
NOTA:
El intervalo de actualizacin mnimo especifica el intervalo mnimo de tiempo

(expresado en minutos) entre sucesivas actualizaciones de DDNS. El valor
predeterminado es de 10 minutos y el rango admisible es 1-1440. En algunos
casos, el dispositivo puede no actualizar el intervalo porque primero el servidor
DNS necesita esperar a que el tiempo de espera de la entrada de DDNS caduque
en su cach. Adems, si establece el intervalo de actualizacin mnimo a un valor
muy bajo, puede que el dispositivo de seguridad le bloquee el acceso Se
recomienda utilizar un valor de al menos 10 minutos.
CLI
set dns ddns
set dns ddns enable
set dns ddns id 12 server dyndns.org server-type dyndns refresh-interval 24
minimum-update-interval 15
set dns ddns id 12 src-interface ethernet7 host-name www.my_host.com
set dns ddns id 12 username swordfish password ad93lvb
save
Configuracin del DDNS para un servidor DDO

En el ejemplo siguiente configurar un dispositivo de seguridad para DDNS. El
dispositivo utiliza el servidor ddo.jp para resolver direcciones. Para el servidor
ddo.jp, especificar el FQDN del host protegido como nombre de usuario para la
entrada de DDNS, en lugar de especificar el host protegido usando el ajuste Host
Name. El servicio deducir automticamente el nombre de host del valor de
Username. Por ejemplo, el servidor ddo.jp traduce un nombre de usuario de
my_host a my_host.ddo.jp. Es necesario cerciorarse de que el nombre de dominio
registrado en ddo.jp coincida con el DNS deducido.
WebUI
Network > DNS > DDNS > New: Introduzca los siguientes datos y haga clic
en OK:
ID: 25
Server Settings
Server Type: ddo
Server Name: juniper.net
Refresh Interval: 24
Minimum Update Interval: 15
Account Settings
Username: my_host
Password: ad93lvb
Bind to Interface: ethernet7
CLI
set dns ddns
set dns ddns enable
set dns ddns id 25 server ddo.jp server-type ddo refresh-interval 24
minimum-update-interval 15
set dns ddns id 25 src-interface ethernet7
set dns ddns id 25 username my_host password ad93lvb
save
226
Divisin de direcciones DNS del proxy

La caracterstica DNS proxy proporciona un mecanismo transparente que permite a
los clientes dividir consultas DNS. Con esta tcnica, el proxy redirige selectivamente
las consultas de DNS a servidores DNS especficos, siguiendo nombres de dominio
parciales o completos. Esto resulta til cuando tneles VPN mltiples o los enlaces
virtuales PPPoE proporcionan conectividad a redes y es necesario dirigir algunas
consultas DNS a una red y otras a otra red.
Las ventajas de un proxy de DNS son las siguientes:
Las operaciones de bsqueda de dominios son generalmente ms eficientes.

Por ejemplo, las consultas de DNS destinadas al dominio corporativo (como
acme.com) podran dirigirse al servidor DNS corporativo, mientras que todas
las dems iran al servidor DNS del ISP, que reduce la carga en el servidor
corporativo. Esto tambin evita la filtracin de informacin del dominio
corporativo a Internet.
El proxy de DNS permite transmitir consultas DNS seleccionadas a travs de

una interfaz Tunnel, impidiendo as que usuarios malvolos puedan acceder a
la configuracin interna de la red. Por ejemplo, las consultas de DNS dirigidas al
servidor corporativo pueden atravesar una interfaz Tunnel para utilizar
caractersticas de seguridad tales como la autenticacin, codificacin y
anti-replay (anti-reprocesamiento).
Los comandos siguientes crean dos entradas DNS por proxy que reenvan
selectivamente las consultas DNS a diferentes servidores.
Figura 84: Dividir peticiones de DNS
Servidores DNS del ISP
juniper.net => 63.126.135.170
juniper.net
1.1.1.23
Internet
63.126.135.170
acme.com =>
3.1.1.2
ethernet3
acme_eng.com =>
3.1.1.5
tunnel.1
acme.com
Empresa
Servidores DNS
2.1.1.21
2.1.1.34
acme_eng.com
Toda consulta de DNS con un FQDN que contenga el nombre de dominio

acme.com saldr a travs de la interfaz Tunnel tunnel.1 al servidor DNS
corporativo en la direccin IP 2.1.1.21.
Por ejemplo, si un host enva una consulta DNS para resolver www.acme.com,
el dispositivo dirige automticamente la consulta a este servidor. (Asuma que el
servidor resuelve la consulta devolviendo la direccin IP 3.1.1.2).
Cualquier consulta DNS con un FQDN que contenga el nombre de dominio

acme_engineering.com sale a travs de interfaz de tnel tunnel.1 al servidor
DNS en la direccin IP 2.1.1.34.
Por ejemplo, si un host enva una consulta DNS para resolver
intranet.acme_eng.com, el dispositivo dirige la consulta a este servidor. (Asuma
que el servidor resuelve la consulta devolviendo la direccin IP 3.1.1.5).
Todas las dems consultas DNS (marcadas con un asterisco) evitan a los
servidores corporativos y salen a travs de la interfaz ethernet3 al servidor DNS
en la direccin IP 1.1.1.23.
Por ejemplo, si el host y el nombre de dominio son www.juniper.net, el
dispositivo evita automticamente los servidores corporativos y dirige la
consulta a este servidor, que resuelve la consulta obteniendo la direccin IP
207.17.137.68.
WebUI
1.
Network > DNS > Proxy: Introduzca los siguientes datos y haga clic en Apply:
Initialize DNS Proxy: Enable

Enable DNS Proxy: Enable
2.
Network > DNS > Proxy > New: Introduzca los siguientes datos y haga clic en OK:
Domain Name: acme.com

Outgoing Interface: tunnel.1
3.
Domain Name: acme_eng.com

Outgoing Interface: tunnel.1
4.
Domain Name: *
CLI
set dns proxy
set dns proxy enable
set interface ethernet3 proxy dns
set dns server-select domain acme.com outgoing-interface tunnel.1 primary-server
2.1.1.21
set dns server-select domain acme_eng.com outgoing-interface tunnel.1
primary-server 2.1.1.34
set dns server-select domain * outgoing-interface ethernet3 primary-server
1.1.1.23
save
228
Protocolo de configuracin dinmica de hosts

El protocolo de configuracin dinmica de hosts (DHCP: Dynamic Host
Configuracion Protocol) fue diseado para aliviar el trabajo de los administradores
de red asignando automticamente ajustes TCP/IP a los hosts de una red. En lugar
de obligar a los administradores a asignar, configurar, supervisar y modificar
(cuando sea necesario) todos los ajustes TCP/IP de cada equipo de una red, DHCP
hace todo automticamente. Adems, DHCP garantiza que no se utilicen
direcciones duplicadas, vuelve a asignar las direcciones que han dejado de utilizarse
y asigna automticamente direcciones IP apropiadas para la subred a la que est
conectado un host.
Diferentes dispositivos de seguridad asumen diferentes papeles DHCP:
NOTA:
Cliente DHCP: Algunos dispositivos de seguridad pueden actuar como clientes

de DHCP, recibiendo una direccin IP asignada dinmicamente para cualquier
interfaz fsica en cualquier zona.
Servidor DHCP: Algunos dispositivos de seguridad tambin pueden actuar

como servidores de DHCP, asignando direcciones IP dinmicas a hosts (que
actan como clientes de DHCP) en cualquier interfaz fsica o VLAN de cualquier
zona.
Aunque utilice el mdulo del servidor DHCP para asignar direcciones a hosts tales
como las estaciones de trabajo de una zona, tambin puede utilizar direcciones IP
fijas para otros equipos, como servidores de correo y servidores WINS.
Agente de retransmisin de DHCP: Algunos dispositivos de seguridad tambin

pueden actuar como agentes de retransmisin de DHCP, recibiendo
informacin de un servidor DHCP y retransmitindola a los hosts de cualquier
interfaz fsica o VLAN en cualquiera zona.
Cliente/servidor/agente de retransmisin DHCP: Algunos dispositivos de

seguridad pueden actuar simultneamente como cliente, servidor y agente de
retransmisin de DHCP. En una sola interfaz solamente se puede configurar un
papel de DHCP. Por ejemplo, en la misma interfaz no se pueden configurar el
cliente y el servidor DHCP. Opcionalmente, se puede configurar el mdulo de
cliente DHCP para que reenve los ajustes TCP/IP que recibe al mdulo de
servidor DHCP, que los utilizar para proporcionar ajustes TCP a los hosts de la
zona Trust que acten como clientes DHCP.
DHCP consta de dos componentes: un protocolo para suministrar ajustes de

configuracin TCP/IP especficos de cada host y un mecanismo para asignar
direcciones IP. Cuando el dispositivo de seguridad acta como servidor DHCP,
proporciona los siguientes ajustes TCP/IP a cada host cuando ste se inicia:
Direccin IP y mscara de red predeterminadas de la puerta de enlace. Si deja

estos ajustes como 0.0.0.0/0, el mdulo del servidor DHCP utiliza
automticamente la direccin IP y la mscara de red de la interfaz
predeterminada de la zona Trust.
229
NOTA:
En los dispositivos que pueden tener varias interfaces asociadas a la zona Trust, la
interfaz predeterminada es la primera interfaz asociada a esa zona a la que se
haya asignado una direccin IP.
NOTA:
Las direcciones IP de los servidores siguientes:
Servidores WINS (2): Los servidores del servicio de nombres de Internet de

Windows (Windows Internet Naming Service o WINS) asignan un
nombre NetBIOS utilizado en un entorno de red Windows NT a una
direccin IP utilizada en una red basada en IP. El nmero en parntesis
indica el nmero de servidores admitidos.
Servidores NetInfo (2): NetInfo es un servicio de red de Apple utilizado

para la distribucin de datos administrativos dentro de una LAN.
Etiqueta de NetInfo (1): La etiqueta identificativa utilizada por la base de

datos de Apple NetInfo.
Servidores DNS (3): Los servidores del sistema de nombres de dominio

(DNS) asignan un localizador de recurso uniforme (Uniform Resource
Locator o URL) a una direccin IP.
Servidor SMTP (1): Los servidores del protocolo simple de transferencia de

correo (Simple Mail Transfer Protocol o SMTP) entregan mensajes
SMTP a un servidor de correo, por ejemplo un servidor POP3, que
almacena el correo entrante.
Servidor POP3 (1): Los servidores del protocolo de oficina de correo,

versin 3 (Post Office Protocol o POP3) almacenan el correo entrante.
Cada servidor POP3 debe trabajar conjuntamente con un servidor SMTP.
Servidor News (1): Los servidores de noticias reciben y almacenan avisos

de los grupos de noticias.
Si un cliente DHCP al que el dispositivo de seguridad los parmetros antedichos

dispone de una direccin IP especificada, sta tiene preferencia sobre toda la
informacin dinmica recibida del servidor DHCP.
Configurar un servidor DHCP

Un dispositivo de seguridad puede admitir hasta ocho servidores DHCP en
cualquier interfaz fsica o VLAN de cualquier zona. Cuando acta como servidor
DHCP, el dispositivo de seguridad asigna direcciones IP y mscaras de subred de
dos modos:
230
En el modo Dynamic, el dispositivo de seguridad, actuando como servidor

DHCP, asigna (o arrienda) a un cliente DHCP del host una direccin IP
tomada de un conjunto de direcciones. La direccin IP se arrienda por un
tiempo determinado o hasta que el cliente renuncia a ella. (Para definir un
periodo de arrendamiento ilimitado, introduzca 0).
NOTA:
En el modo Reserved, el dispositivo de seguridad asigna una direccin IP

tomada de un conjunto de direcciones exclusivamente para un cliente
especfico cada vez que ste establece una conexin.
Un conjunto de direcciones es un rango de direcciones IP definido en la misma

subred de la que el dispositivo de seguridad puede tomar direcciones DHCP para
asignar. Puede agrupar hasta 255 direcciones IP.
El servidor DHCP admite hasta 64 entradas, entre las que se pueden incluir los
rangos de direcciones de IP y direcciones IP a una sola direccin, para las
direcciones IP dinmicas y reservadas.
El dispositivo de seguridad guarda cada direccin IP asignada mediante DHCP en
su memoria flash. Por lo tanto, reiniciar el dispositivo de seguridad no afecta a las
asignaciones de direcciones.
En este ejemplo, utilizando DHCP, se seccionar la red 172.16.10.0/24 de la zona
Trust en tres conjuntos de direcciones IP.
172.16.10.10 a 172.16.10.19
172.16.10.120 a 172.16.10.129
172.16.10.210 a 172.16.10.219
El servidor DHCP asigna todas las direcciones IP dinmicamente, salvo a dos

estaciones de trabajo con direcciones IP reservadas y a cuatro servidores que tienen
direcciones IP estticas. La interfaz ethernet1 est asociada a la zona Trust, tiene la
direccin IP 172.16.10.1/24 y se encuentra en modo NAT. El nombre del dominio es
dynamic.com.
Figura 85: Dispositivo como servidor DHCP
Zona Trust
ethernet1
172.16.10.1/24 (NAT)
Conjunto de
direcciones
172-16.10.10
172.16.10.19
IP reservada
172.16.10.11
MAC: 12:34:ab:cd:56:78
Servidores DNS
Direcciones IP fijas
172.16.10.240
172.16.10.241
172.16.10.1/24
LAN
Conjunto de
direcciones
172-16.10.210
172.16.10.219
Conjunto de
direcciones
172-16.10.120
172.16.10.129
IP reservada
172.16.10.112
MAC: ab:cd:12:34:ef:gh
Servidores SMTP y POP3

Direcciones IP fijas
172.16.10.25 y 172.16.10.10
231
WebUI
1.
Direcciones
en OK:
Nombre de direccin: DNS#1
Comment: Servidor DNS principal
Zona: Trust
en OK:
Address Name: DNS#2
Comment: Servidor DNS secundario
Zone: Trust
en OK:
Nombre de direccin: SMTP
Comment: Servidor SMTP
Zona: Trust
en OK:
Address Name: POP3
Comment: Servidor POP3
Zone: Trust
2.
Servidor DHCP
Network > DHCP > Edit (para ethernet1) > DHCP Server: Introduzca los
Lase: Unlimited (seleccione)
WINS#1: 0.0.0.0
DNS#1: 172.16.10.240
NOTA:
232
Si deja los campos Gateway y Netmask como 0.0.0.0, el mdulo de servidor

DHCP enva la direccin IP y mscara de red establecida para ethernet1 a sus
clientes (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si habilita el
mdulo de cliente DHCP para que reenve ajustes de TCP/IP al mdulo del
servidor DHCP (consulte Transmisin de ajustes TCP/IP en la pgina 243),
deber introducir manualmente 172.16.10.1 y 255.255.255.0 en los campos
Gateway y Netmask.
WINS#2: 0.0.0.0
DNS#2: 172.16.10.241
DNS#3: 0.0.0.0
SMTP: 172.16.10.25
POP3: 172.16.10.110
NEWS: 0.0.0.0
NetInfo Server # 1: 0.0.0.0
NetInfo Server # 2: 0.0.0.0
NetInfo Tag: (deje el campo vaco)
Domain Name: dynamic.com
> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
IP Address Start: 172.16.10.10
IP Address End: 172.16.10.19
Reserved: (seleccione)
IP Address: 172.16.10.11
Ethernet Address: 1234 abcd 5678
Reserved: (seleccione)
Direccin IP: 172.16.10.112
Ethernet Address: abcd 1234 efgh
CLI
1.
Direcciones
set
set
set
set
2.
address
address
address
address
trust dns1 172.16.10.240/32 primary dns server

trust dns2 172.16.10.241/32 secondary dns server
trust snmp 172.16.10.25/32 snmp server
trust pop3 172.16.10.110/32 pop3 server
Servidor DHCP
set
set
set
set
set
set
interface ethernet1 dhcp server option

domainname dynamic.com
lease 0
dns1 172.16.10.240
dns2 172.16.10.241
smtp 172.16.10.25
pop3 172.16.10.110
233
set interface ethernet1 dhcp server ip 172.16.10.10 to 172.16.10.19

set interface ethernet1 dhcp server ip 172.16.10.11 mac 1234abcd5678
set interface ethernet1 dhcp server ip 172.16.10.112 mac abcd1234efgh
set interface ethernet1 dhcp server service
save
NOTA:
Si no establece una direccin IP para la puerta de enlace o una mscara de red, el

mdulo del servidor DHCP enva a sus clientes la direccin IP y mscara de red
para ethernet1 (172.16.10.1 y 255.255.255.0 en este ejemplo). Sin embargo, si
habilita el mdulo de cliente DHCP para reenviar ajustes TCP/IP al mdulo del
servidor DHCP (consulte Transmisin de ajustes TCP/IP en la pgina 243),
deber establecer manualmente estas opciones: set interface ethernet1 dhcp
server option gateway 172.16.10.1 y set interface ethernet1 dhcp server option
netmask 255.255.255.0.
Personalizar opciones de servidor DHCP

Al especificar servidores DHCP para una interfaz, posiblemente sea necesario
especificar las opciones que identifiquen a los servidores o proporcionen la
informacin utilizada por stos. Por ejemplo, puede especificar la direccin IP de
los servidores DNS primario y secundario, o bien establecer el tiempo de
asignacin (lease time) de la direccin IP.
Los siguientes son servicios DHCP predefinidos, segn se describe en RFC 2132,
DHCP Options and BOOTP Vendor Extensions (Extensiones del proveedor BOOTP y
opciones DHCP).
234
Tabla 23: Servicios predefinidos DHCP
Terminologa
Terminologa de la CLI de
ScreenOS
Cdigo de opcin
Mscara de subred
netmask
Opcin del enrutador
gateway
Servidor del sistema de

nombre de dominio (DNS)
dns1, dns2, dns3
Nombre de dominio
domainname
15
Opcin de NetBIOS a travs

de TCP/IP en el servidor de
nombres
wins1, wins2
44
Tiempo de arrendamiento de
la direccin IP
lease
51
Opcin del servidor SMTP
smtp
69
Opcin del servidor POP3
pop3
70
Opcin del servidor NNTP
news
71
(N/D)
nis1, nis2
112
(N/D)
nistag
113
En situaciones en la que las opciones predefinidas del servidor no son las

adecuadas, puede definir las opciones de servidor DHCP personalizadas. Por
ejemplo, para ciertas configuraciones de voz sobre IP (VoIP), es necesario enviar
informacin adicional de configuracin que no es reconocida por las opciones
predefinidas del servidor. En tales casos, debe definir opciones personalizadas
apropiadas.
En el ejemplo siguiente crear definiciones de servidor DHCP para telfonos IP que
actan como clientes DHCP. Los telfonos utilizan las opciones personalizadas
siguientes:
Cdigo de opcin 444, conteniendo la cadena Server 4
Cdigo de opcin 66, conteniendo la direccin IP 1.1.1.1
Cdigo de opcin 160, conteniendo el nmero entero 2004
CLI
1.
Direcciones
set address trust dns1 172.16.10.240/32 primary dns server

set address trust dns2 172.16.10.241/32 secondary dns server
2.
Servidor DHCP
set
set
set
set
set
set
set
set
interface ethernet1 dhcp server option domainname dynamic.com

interface ethernet1 dhcp server option lease 0
interface ethernet1 dhcp server option dns1 172.16.10.240
interface ethernet1 dhcp server option dns2 172.16.10.241
interface ethernet1 dhcp server option custom 444 string Server 4
interface ethernet1 dhcp server option custom 66 ip 1.1.1.1
interface ethernet1 dhcp server option custom 160 integer 2004
interface ethernet1 dhcp server ip 172.16.10.10 to 172.16.10.19
235
Colocacin del servidor DHCP en un clster de NSRP

Cuando la unidad principal de un clster NSRP redundante acta como servidor
DHCP, todos los miembros del clster mantienen todas las configuraciones DHCP y
asignaciones de direcciones IP. En caso de una conmutacin por error, la nueva
unidad principal mantiene todas las asignaciones de DHCP. Sin embargo, la
finalizacin de la comunicacin HA interrumpe la sincronizacin de las
asignaciones DHCP existentes entre miembros del clster. Una vez restablecida la
comunicacin de HA, puede resincronizar las asignaciones de DHCP mediante el
siguiente comando CLI en ambas unidades del clster: set nsrp rto-mirror sync.
Deteccin del servidor DHCP

Cuando se inicia un servidor DHCP de un dispositivo de seguridad, el sistema
puede comprobar primero si la interfaz ya tiene un servidor DHCP. ScreenOS
impide automticamente que se inicie el proceso del servidor DHCP local si detecta
la presencia de otro servidor DHCP en la red. Para detectar otro servidor DHCP, el
dispositivo enva peticiones de arranque DHCP en intervalos de 2 segundos. Si el
dispositivo no recibe ninguna respuesta a sus peticiones de arranque, inicia su
proceso local de servidor DHCP.
Si el dispositivo de seguridad recibe una respuesta de otro servidor DHCP, el
sistema genera un mensaje indicando que el servicio DHCP est habilitado en el
dispositivo de seguridad, pero no se ha iniciado porque hay otro servidor DHCP
presente en la red. El mensaje del registro incluye la direccin IP del servidor DHCP
existente.
Para detectar la presencia de un servidor DHCP en una interfaz, puede utilizarse
uno de los tres modos de funcionamiento siguientes: Auto, Enable o Disable. En el
modo Auto, el dispositivo de seguridad comprueba si hay algn servidor DHCP
presente siempre que arranca. Puede configurar el dispositivo para que no intente
detectar otro servidor DHCP en una interfaz activando el modo Enable o Disable del
servidor DHCP de seguridad. En el modo Enable, el servidor DHCP est siempre
encendido y el dispositivo no comprueba si hay algn servidor DHCP en la red. En
el modo Disable, el servidor DHCP est siempre apagado.
NOTA:
Auto es el modo predeterminado de deteccin de servidores DHCP en

dispositivos NetScreen-5XP y NetScreen-5XT. En otros dispositivos de seguridad
de Juniper Networks que admitan el servidor DHCP, el modo Enable es el modo
predeterminado de deteccin de servidores DHCP.
Activacin de deteccin del servidor DHCP

En este ejemplo configurar el servidor DHCP de la interfaz ethernet1 para que,
antes de iniciarse, compruebe si hay algn servidor DHCP en la interfaz.
WebUI
Server Mode: Auto (seleccione)
CLI
set interface ethernet1 dhcp server auto
save
236
Desactivacin de deteccin del servidor DHCP

En este ejemplo configurar el servidor DHCP de la interfaz ethernet1 para que se
inicie sin comprobar si hay algn servidor DHCP existente en la red.
WebUI
Server Mode: Enable (seleccione)
CLI
set interface ethernet1 dhcp server enable
save
NOTA:
El servidor DHCP se puede activar ejecutando el comando CLI set interface

interfacedhcp server service. Si el modo de deteccin del servidor DHCP
establecido para la interfaz es Auto, el servidor DHCP del dispositivo de
seguridad solamente se inicia si no encuentra un servidor existente en la red. Con
el comando unset interface interfaz dhcp server service se desactiva el servidor
DHCP en el dispositivo NetScreen y tambin se elimina cualquier configuracin
DHCP.
Asignacin de un dispositivo de seguridad como agente de retransmisin de DHCP

Cuando acta como agente de retransmisin de DHCP, el dispositivo de seguridad
reenva peticiones y asignaciones DHCP entre los hosts de una zona y el servidor
DHCP de otra zona. Los mensajes DHCP entre el dispositivo de seguridad y el
servidor DHCP se pueden transmitir en abierto o a travs de un tnel VPN.
Puede configurar un agente de retransmisin de DHCP en una o ms interfaces
fsicas o VLAN de un dispositivo de seguridad, pero no puede configurar un agente
de retransmisin de DHCP y funciones de servidor o cliente DHCP en la misma
interfaz. Cuando el dispositivo de seguridad funciona como agente de
retransmisin de DHCP, sus interfaces deben estar en el modo de ruta ("Route") o
transparente ("Transparent"). Para las interfaces en el modo de ruta es necesario
configurar una directiva interzonal para el servicio predefinido DHCP-Relay. Para las
interfaces en el modo transparente, el cliente DHCP debe residir en la zona
V1-Trust, mientras que el servidor DHCP puede residir en la zona V1-Untrust o
V1-DMZ. Para las interfaces en modo transparente no se requiere ninguna directiva.
Se pueden configurar hasta tres servidores DHCP para cada agente de
retransmisin de DHCP. El agente de retransmisin enva una peticin de direccin
procedente de un cliente DHCP a todos los servidores DHCP configurados. El
agente de retransmisin reenva al cliente la primera respuesta recibida de un
servidor.
NOTA:
Cuando un dispositivo de seguridad acta como agente de retransmisin de

DHCP, no genera informes sobre el estado de asignacin de DHCP debido a que el
servidor DHCP remoto controla todas las asignaciones de direcciones IP.
237
La Figura 86 presenta el proceso de utilizacin de un dispositivo de seguridad como

agente de retransmisin de DHCP. Para garantizar la seguridad, los mensajes DHCP
pasan por un tnel VPN a su paso por la red no fiable.
Figura 86: Trfico del agente de retransmisin de DHCP
Zona Trust
Agente de retransmisin
Tnel VPN en la
zona Untrust
DHCP
Servidor
Host
Peticin
Peticin
DHCP
Servidor
Host
Asignacin
Asignacin
DHCP
Servidor
Host
Peticin
Peticin
En este ejemplo, un dispositivo de seguridad recibe su informacin DHCP de un

servidor DHCP en 194.2.9.10 y la retransmite a los hosts en la zona Trust. Los hosts
reciben direcciones IP de un conjunto de direcciones IP definido en el servidor
DHCP. El rango de direcciones es 180.10.10.2180.10.10.254. Los mensajes DHCP
pasan a travs de un tnel VPN entre el dispositivo de seguridad local y el servidor
DHCP, situado detrs de un dispositivo de seguridad remoto cuya direccin IP en la
interfaz de la zona Untrust es 2.2.2.2/24. La interfaz ethernet1 est asociada a la
zona Trust, tiene la direccin IP 180.10.10.1/24 y est en modo de ruta. La interfaz
ethernet3 est asociada a la zona Untrust y tiene la direccin IP 1.1.1.1/24. Todas
las zonas de seguridad se encuentran en el dominio de enrutamiento trust-vr.
238
Figura 87: Dispositivo como agente de retransmisin de DHCP

Zona Trust
ethernet3
1.1.1.1/24
ethernet1
180.10.10.1/24
Zona Untrust
Servidor
DHCP
194.2.9.10
Agente de retransmisin
de DHCP
Conjunto de
direcciones IP
180.10.10.2-
WebUI
1.
Interfaces
en Apply:
Zone: Trust

en OK:
Zone: Untrust
2.
Direccin
en OK:
Address Name: Servidor DHCP
Zona: Untrust
239
3.
VPN
y haga clic en OK:
Gateway Name: dhcp server
Security Level: Custom
Static IP: (seleccione), Address/Hostname: 2.2.2.2
Security Level:
User Defined: Custom (seleccione)
Phase1 Proposal: rsa-g2-3des-sha
Mode (Initiator): Main (Proteccin de la identificacin)
VPN > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: to_dhcp
Security Level: Compatible
Remote Gateway:
Predefined: (seleccione), to_dhcp
Bind to: Ninguna
4.
Agente de retransmisin de DHCP
Network > DHCP > Edit (para ethernet1) > DHCP Relay Agent: Introduzca los
Relay Agent Server IP or Domain Name: 194.2.9.10
Use Trust Zone Interface as Source IP for VPN: (seleccione)
5.
Ruta
NOTA:
240
Establecer una ruta al enrutador externo designado como puerta de enlace

predeterminada es esencial tanto para el trfico VPN saliente como para el de red.
En este ejemplo, el dispositivo de seguridad enva trfico VPN encapsulado a este
enrutador como primer salto a lo largo de su ruta al dispositivo de seguridad
remoto. En la ilustracin de este ejemplo, el concepto aparece representando
como tnel atravesando el enrutador.
6.
Directivas
clic en OK:
Source Address:
Address Book Entry: (seleccione), DHCP Server
Service: DHCP-Relay
Action: Tunnel
Tunnel VPN: to_dhcp
Modify matching outgoing VPN policy: (seleccione)
CLI
1.
Interfaces

2.
Direccin
set address untrust dhcp_server 194.2.9.10/32

3.
VPN
set ike gateway dhcp server ip 2.2.2.2 main outgoing-interface ethernet3

proposal rsa-g2-3des-sha
set vpn to_dhcp gateway dhcp server proposal g2-esp-3des-sha
4.
Agente de retransmisin de DHCP
set interface ethernet1 dhcp relay server-name 194.2.9.10

set interface ethernet1 dhcp relay vpn
5.
Ruta

6.
Directivas
set policy from trust to untrust any dhcp_server dhcp-relay tunnel vpn to_dhcp
set policy from untrust to trust dhcp_server any dhcp-relay tunnel vpn to_dhcp
save
Utilizar un dispositivo de seguridad como un cliente DHCP

Cuando acta como cliente DHCP, el dispositivo de seguridad recibe una direccin
IP dinmicamente de un servidor DHCP para cualquier interfaz fsica en cualquier
zona de seguridad. Si existen varias interfaces asociadas a una sola zona de
seguridad, puede configurar un cliente DHCP para cada interfaz, siempre que
ninguna de ellas est conectada al mismo segmento de red. Si configura un cliente
DHCP para dos interfaces conectadas al mismo segmento de red, se utilizar la
primera direccin asignada por un servidor DHCP. (Si el cliente DHCP recibe una
actualizacin de direccin para la misma direccin IP, IKE no se reencripta).
NOTA:
Aunque algunos dispositivos de seguridad pueden actuar como servidor DHCP,

agente de retransmisin de DHCP o cliente DHCP al mismo tiempo, en una
misma interfaz no se puede configurar ms de un papel de DHCP.
241
En este ejemplo, la interfaz asociada a la zona Untrust tiene una direccin IP

asignada dinmicamente. Cuando el dispositivo de seguridad solicita una direccin
IP al proveedor de servicios de Internet, recibe su direccin IP, la mscara de
subred, la direccin IP de la puerta de enlace y el periodo de vigencia de la
direccin arrendada. La direccin IP del servidor DHCP es 2.2.2.5.
Figura 88: Dispositivo como cliente DHCP
Zona Trust
LAN interna
1. Direccin IP solicitada para

ethernet3 (zona Untrust)
2. Direccin IP asignada
ISP
(servidor DHCP)
2.2.2.5
Internet
Zona Untrust
NOTA:
Antes de poder configurar un sitio para el servicio DHCP, debe disponer de una
Lnea de abonado digital (DSL) y una cuenta con un proveedor de servicios de
Internet (ISP).
WebUI
Network > Interfaces > Edit (para ethernet3): Seleccione Obtain IP using
DHCP, despus haga clic en OK.
NOTA:
La direccin IP del servidor DHCP no se puede especificar mediante WebUI; no

obstante, s se puede especificar mediante comandos CLI.
CLI
set interface ethernet3 dhcp client
set interface ethernet3 dhcp settings server 2.2.2.5
save
242
Transmisin de ajustes TCP/IP

Algunos dispositivos de seguridad pueden actuar como cliente del protocolo de
control dinmico de hosts (Dynamic Host Control Protocol o DHCP), recibiendo
de un servidor DHCP externo sus ajustes TCP/IP y direccin IP para cualquier
interfaz fsica en cualquier zona de seguridad. Algunos dispositivos de seguridad
pueden actuar como servidores DHCP, proporcionando ajustes TCP/IP y direcciones
IP a los clientes en cualquier zona. Cuando un dispositivo de seguridad acta
simultneamente como cliente DHCP y como servidor DHCP, puede transferir a su
mdulo predeterminado de servidor DHCP los ajustes TCP/IP obtenidos de su
mdulo de cliente DHCP.
Los ajustes TCP/IP incluyen la direccin IP de la puerta de enlace predeterminada y
una mscara de subred, as como las direcciones IP para cualquiera o todos los
servidores siguientes:
NOTA:
DNS (3)
WINS (2)
NetInfo (2)
SMTP (1)
POP3 (1)
News (1)
Si bien es posible configurar hasta ocho servidores DHCP en cualquier interfaz

fsica o interfaz VLAN, el servidor DHCP predeterminado del dispositivo reside en
una interfaz especfica en cada plataforma. En el dispositivo NetScreen-5XP, el
servidor DHCP predeterminado reside en la interfaz de la zona Trust. En el
dispositivo NetScreen-5XT, el servidor DHCP predeterminado reside en la interfaz
de la zona Trust para el modo de puerto Trust-Untrust, en la interfaz ethernet1
para el modo de puerto Dual-Untrust y en la interfaz ethernet2 para los modos
de puerto Home-Work y Combined. Para otros dispositivos, el servidor DHCP
predeterminado reside en la interfaz ethernet1.
En la Figura 89 en la pgina 244, el dispositivo de seguridad es a la vez un cliente
del servidor DHCP en la zona Untrust y un servidor DHCP para los clientes de la
zona Trust. El dispositivo toma los ajustes TCP/IP que recibe como cliente DHCP y
los reenva como servidor DHCP a los clientes en la zona Trust. La interfaz de la
zona Untrust es el cliente DHCP y recibe las direcciones IP dinmicamente del ISP.
243
Figura 89: Transmisin del DHCP

Zona Untrust
ISP
Servidor DHCP
Ajustes TCP/IP y direccin IP

de la interfaz de la zona
Untrust
Interfaz de la zona Untrust: Cliente DHCP
Ajustes TCP/IP
Interfaz de la zona Trust: Servidor

DHCP
10.1.1.1/0
Rango de DHCP:
10.1.1.50 - 10.1.1.200
Clientes de DHCP
Zona Trust
Para propagar todos los ajustes TCP/IP que reciba del mdulo de cliente DHCP,
puede configurar el mdulo del servidor DHCP ejecutando el comando set
interface interface dhcp-client settings update-dhcpserver. Tambin puede dar
preferencia a cualquier ajuste sobre otro.
En este ejemplo configurar el dispositivo de seguridad para actuar a la vez como
cliente DHCP en la interfaz ethernet3 y como servidor DHCP en la interfaz
ethernet1. (El servidor DHCP predeterminado se encuentra en la interfaz
ethernet1).
Como cliente DHCP, el dispositivo de seguridad recibe una direccin IP para la
interfaz ethernet3 y sus ajustes TCP/IP de un servidor DHCP externo con la
direccin 211.3.1.6. Habilitar el mdulo de cliente DHCP en el dispositivo de
seguridad para transferir al mdulo de servidor DHCP los ajustes TCP/IP que reciba.
Configurar el mdulo de servidor DHCP para hacer lo siguiente con los ajustes
TCP/IP que reciba del mdulo de cliente DHCP:
244
Reenviar las direcciones IP de DNS a sus clientes DHCP en la zona Trust.
Ignorar las direcciones IP de la puerta de enlace predeterminada, la mscara de

red y los servidores SMTP y POP3, dando preferencia a las siguientes:
10.1.1.1 (direccin IP de la interfaz ethernet1)
255.255.255.0 (mscara de red para la interfaz ethernet1)
SMTP: 211.1.8.150
POP3: 211.1.8.172
NOTA:
Si el servidor DHCP ya est habilitado en la interfaz de la zona Trust y dispone de

un conjunto definido de direcciones IP (lo cual es el comportamiento
predeterminado para ciertas plataformas), antes de poder cambiar la puerta de
enlace predeterminada y la mscara de red debe eliminarse previamente el
conjunto de direcciones IP.
Tambin configurar el mdulo de servidor DHCP para que proporcione los
siguientes ajustes TCP/IP que no recibe del mdulo de cliente DHCP:
Servidor WINS principal: 10.1.2.42
Servidor WINS secundario: 10.1.5.90
Finalmente, configurar el mdulo de servidor DHCP de modo que asigne

direcciones IP del siguiente conjunto de direcciones IP a los hosts que acten como
clientes DHCP en la zona Trust: 10.1.1.50 10.1.1.200.
WebUI
NOTA:
Esta caracterstica solamente se puede establecer mediante CLI.

CLI
1.
Cliente DHCP
set
set
set
set
2.
interface ethernet3 dhcp-client settings server 211.3.1.6

interface ethernet3 dhcp-client settings update-dhcpserver
interface ethernet3 dhcp-client settings autoconfig
interface ethernet3 dhcp-client enable
Servidor DHCP
set interface ethernet1 dhcp server option gateway 10.1.1.1

set interface ethernet1 dhcp server option netmask 255.255.255.0
set interface ethernet1 dhcp server option wins1 10.1.2.42
set interface ethernet1 dhcp server option wins2 10.1.5.90
set interface ethernet1 dhcp server option pop3 211.1.8.172
set interface ethernet1 dhcp server option smtp 211.1.8.150
save
Protocolo punto a punto sobre Ethernet

El protocolo PPP a travs de Ethernet (PPP-over-Ethernet o PPPoE) combina el
protocolo punto a punto (Point-to-Point Protocol o PPP), utilizado generalmente
para conexiones de acceso telefnico, con el protocolo Ethernet, que permite
conectar varios usuarios de un sitio a los mismos equipos de las instalaciones del
cliente. Muchos usuarios pueden compartir la misma conexin fsica pero el control
de accesos, la facturacin y el tipo de servicio se gestionan independientemente
para cada usuario. Algunos dispositivos de seguridad admiten un cliente PPPoE,
permitindoles funcionar de modo compatible con DSL, Ethernet Direct y redes de
cable gestionadas por ISP, que utilizan el protocolo PPPoE para el acceso a Internet
de sus clientes.
245
En dispositivos que admiten PPPoE se puede configurar una instancia de cliente

PPPoE en cualquier interfaz o en todas ellas. Configurar una instancia PPPoE
especfica con un nombre de usuario, una contrasea y otros parmetros, para
despus asociar la instancia a una interfaz. Cuando dos interfaces de Ethernet (una
principal y una de respaldo) estn asociadas a la zona Untrust, puede configurar
una de ellas o ambas para PPPoE. Por ejemplo, en el modo de puerto Dual
Untrust, puede configurar la interfaz principal (ethernet3) para DHCP y la interfaz
de respaldo (ethernet2) para PPPoE o bien puede configurar PPPoE tanto para la
interfaz principal como para la de respaldo.
NOTA:
Algunas plataformas, como el dispositivo NetScreen-5XT, admiten los modos de

puerto.
Configurar PPPoE
El ejemplo siguiente ilustra cmo definir la interfaz no fiable de un dispositivo de
seguridad para conexiones PPPoE, y cmo iniciar el servicio PPPoE.
En este ejemplo, el dispositivo de seguridad recibe del ISP una direccin IP
asignada dinmicamente para su interfaz de la zona Untrust (ethernet3), al tiempo
que el dispositivo de seguridad asigna dinmicamente direcciones IP para los tres
hosts de su zona Trust. En este caso, el dispositivo de seguridad acta como cliente
PPPoE y como servidor DHCP. La interfaz de la zona Trust debe estar en modo NAT
o Route. En este ejemplo se encuentra en modo NAT.
Figura 90: PPPoE
Interfaz de Trust: 172.16.30.10/24
Untrust (ethernet3): modo DHCP

Concentrador
(hub)
Mdem DSL
ISP
DSLAM
CA
Lnea DSL
Internet
Principal
Servidor DNS
Rango de DHCP:
172.16.30.2 - 172.16.30.5
Zona Trust
Servidor DNS
secundario
Zona Untrust
Antes de configurar el sitio de este ejemplo para el servicio PPPoE, debe disponer
de los siguientes medios:
246
Lnea de abonado digital (DSL) y el mdem correspondiente
Cuenta con un ISP
Nombre de usuario y contrasea (proporcionada por ISP)
WebUI
1.
Interfaces y PPPoE
haga clic en OK:
Zona: Trust
haga clic en OK:
Zona: Untrust
Obtain IP using PPPoE: (seleccione)
User Name/Password: <nombre>/<contrasea>
Network > Interfaces > Edit (para ethernet3): Para verificar su conexin
PPPoE, haga clic en Connect.
NOTA:
Cuando se inicia una conexin PPPoE, el proveedor de servicios de Internet (ISP)

proporciona automticamente las direcciones IP para la interfaz de la zona
Untrust y las direcciones IP para los servidores del Sistema de nombres de
dominio (DNS). Cuando el dispositivo de seguridad recibe direcciones DNS a
travs de PPPoE, los nuevos ajustes de DNS sobrescriben de forma
predeterminada los ajustes locales. Si no desea que los nuevos ajustes de DNS
reemplacen los ajustes locales, puede utilizar el comando CLI unset pppoe
dhcp-updateserver para desactivar este comportamiento.
Si utiliza una direccin IP esttica para la interfaz de la zona Untrust, debe obtener
las direcciones IP de los servidores DNS e introducirlos manualmente en el
dispositivo de seguridad y en los hosts de la zona Trust.
2.
Servidor DHCP
Network > Interfaces > Edit (para ethernet1) > DHCP: Seleccione DHCP
Server, despus haga clic en Apply.
Network > Interfaces > Edit (para ethernet1) > DHCP: Introduzca los
Lease: 1 hour
Gateway: 0.0.0.0
Netmask: 0.0.0.0
DNS#1: 0.0.0.0
> Advanced: Introduzca los siguientes datos y haga clic en Return:

DNS#2: 0.0.0.0
Domain Name: (dejar en blanco)
Network > Interfaces > DHCP (para ethernet1) > New Address: Introduzca los
247
3.
Activacin de PPPoE en el dispositivo de seguridad
1. Apague el mdem DSL, el dispositivo de seguridad y las tres estaciones de

trabajo.
2. Encienda el mdem DSL.
3. Encienda el dispositivo de seguridad.
El dispositivo de seguridad establecer una conexin PPPoE con el ISP y
obtendr de ste las direcciones IP para los servidores DNS.
4.
Activacin de DHCP en la red interna
Encienda las estaciones de trabajo.

Las estaciones de trabajo recibirn automticamente las direcciones IP para los
servidores DNS. Obtendrn una direccin IP para s mismas cuando intenten
establecer una conexin TCP/IP.
NOTA:
Cuando se utiliza DHCP para asignar direcciones IP a los hosts de la zona Trust, el
dispositivo de seguridad reenva automticamente las direcciones IP de los
servidores DNS que recibe del ISP a los hosts.
Si las direcciones IP para los hosts no se asignan dinmicamente mediante DHCP,
deber introducir manualmente las direcciones IP de los servidores DNS en cada
host.
Cada conexin TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automticamente por el proceso de encapsulado PPPoE.
CLI
1.
Interfaces y PPPoE
set
set
set
set
set
interface ethernet1 zone trust

interface ethernet1 ip 172.16.30.10/24
interface ethernet3 zone untrust
pppoe interface ethernet3
pppoe username name_str password pswd_str
Para comprobar su conexin PPPoE:

exec pppoe connect
get pppoe
2.
Servidor DHCP

set interface ethernet1 dhcp server option lease 60
save
3.
Activacin de PPPoE en el dispositivo de seguridad
1. Apague el mdem DSL, el dispositivo de seguridad y las tres estaciones de

trabajo.
2. Encienda el mdem DSL.
3. Encienda el dispositivo de seguridad.
248
4.
Activacin de DHCP en la red interna
Encienda las estaciones de trabajo.

Las estaciones de trabajo recibirn automticamente las direcciones IP para los
servidores DNS. Obtendrn una direccin IP para s mismas cuando intenten
establecer una conexin TCP/IP.
Cada conexin TCP/IP que establece un host de la zona Trust hacia la zona
Untrust pasa automticamente por el proceso de encapsulado PPPoE.
Configurar PPPoE en las interfaces principal y de respaldo de la zona Untrust

En este ejemplo, el dispositivo NetScreen-5XT se encuentra en el modo Dual
Untrust. En el ejemplo siguiente configurar PPPoE para las interfaces principal
(ethernet3) y de respaldo (ethernet2) hacia la zona Untrust.
WebUI
Configuracin de PPPoE para la interfaz ethernet3
Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK:
PPPoE instance: eth3-pppoe
Unido a la interfaz: ethernet3 (seleccione)
Username: user1
Password: 123456
Authentication: Any (seleccione)
Access Concentrator: ac-11
Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK:
PPPoE instance: eth2-pppoe
Unido a la interfaz: ethernet2 (seleccione)
Username: user2
Password: 654321
Authentication: Any (seleccione)
Access Concentrator: ac-22
CLI
1.
set
set
set
set
2.
pppoe name eth3-pppoe username user1 password 123456

pppoe name eth3-pppoe ac ac-11
pppoe name eth3-pppoe authentication any
pppoe name eth3-pppoe interface ethernet3
set pppoe name eth2-pppoe username user2 password 654321

set pppoe name eth2-pppoe ac ac-22
set pppoe name eth2-pppoe authentication any
set pppoe name eth2-pppoe interface ethernet2
save
249
Configuracin de mltiples sesiones PPPoE a travs de una sola interfaz

Algunos dispositivos de seguridad admiten la creacin de mltiples subinterfaces
PPPoE (cada una con la misma direccin MAC) para una interfaz fsica dada. Esto
permite establecer una conexin de red privada con un ISP y conectarse a Internet
a travs de un ISP diferente utilizando la misma interfaz fsica. Puede establecer
estas conexiones usando otro nombre de usuario o nombres de dominio o bien
conectarse simultneamente a otros ISP.
El nmero mximo de sesiones PPPoE simultneas en una interfaz fsica est
limitado nicamente por el nmero de subinterfaces permitidas por el dispositivo.
No hay restriccin en cuanto al nmero de interfaces fsicas que pueden admitir
mltiples sesiones. Puede especificar los parmetros username, static-ip,
idle-timeout, auto-connect y otros por separado para cada instancia o sesin PPPoE.
Para admitir una sesin PPPoE, la subinterfaz no debe estar etiquetada. Una
interfaz no etiquetada no utiliza una etiqueta de LAN virtual para identificar la VLAN
correspondiente a una subinterfaz. La caracterstica Encap asocia la subinterfaz a
la encapsulacin PPPoE. Al hospedar mltiples subinterfaces, una sola interfaz
fsica puede hospedar mltiples instancias PPPoE. Puede configurar cada instancia
de modo que acceda al concentrador de accesos especificado (CA), permitiendo
que entidades independientes como ISP administren sesiones PPPoE a travs de
una sola interfaz. Para obtener ms informacin sobre VLAN y etiquetas VLAN,
consulte Volumen 10: Sistemas virtuales.
Figura 91: PPPoE con mltiples sesiones
Mltiples subinterfaces
Tres instancias PPPoE
Interfaz fsica nica (p. ej. ethernet7)
isp_1
e7
isp_1ac
isp_2
e7.1
isp_2ac
isp_3
e7.2
isp_3ac
Tres sesiones PPPoE
Zona Untrust
Zona Trust
isp_1ac
isp_2ac
isp_3ac
ethernet7
Concentradores de accesos
En el ejemplo siguiente, definir tres instancias PPPoE, especificar un

concentrador de accesos (CA) para cada una y luego iniciar cada instancia.
250
Instancia isp_1, nombre de usuario user1@domain1, contrasea

swordfish, asociada a la interfaz ethernet7. El CA se llama isp_1ac.
Instancia isp_2, nombre de usuario user2@domain2, contrasea marlin,

asociada a la subinterfaz ethernet7.1. El CA se llama isp_2ac.
Instancia isp_3, nombre de usuario user3@domain3, contrasea trout,

asociada a la subinterfaz ethernet7.2. El CA se llama isp_3ac.
WebUI
Interfaz y subinterfaces
1.
Network > Interfaces > Edit (para ethernet7):

Zone Name: Untrust
2.
Network > Interfaces > New (Sub-IF):

Zone Name: Untrust
3.
Network > Interfaces > New (Sub-IF):

Zone Name: Untrust
Instancias PPPoE y CA
4.
Network > PPPoE > New:

PPPoE Instance: isp_1
Enable: Enable
Bound to Interface: ethernet7
Username: user1@domain1
Access Concentrator: isp_1ac
5.

Enable: Enable
Bound to Interface: ethernet7.1
6.

Enable: Enable
Bound to Interface: ethernet7.2
251
Iniciacin del protocolo PPPoE

7.
Network > PPPoE > Connect (para isp_1)
8.
9.
CLI
1.
Interfaz y subinterfaces

set interface ethernet7.1 encap pppoe zone untrust
set interface ethernet7.2 encap pppoe zone untrust
2.
Instancias PPPoE y CAs
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
set pppoe
save
3.
name
name
name
name
name
name
name
name
name
isp_1
isp_1
isp_1
isp_2
isp_2
isp_2
isp_3
isp_3
isp_3
username user1@domain1 password swordfish

interface ethernet7
ac isp_1ac
username user2@domain2 password marlin
interface ethernet7.1
ac isp_2ac
username user3@domain3 password trout
interface ethernet7.2
ac isp_3ac
Iniciacin del protocolo PPPoE
exec pppoe name isp_1 connect

PPPoE y alta disponibilidad

Dos dispositivos de seguridad que admitan PPPoE en modo activo/pasivo pueden
asumir el fallo de una conexin PPPoE. En el momento de iniciar la conexin, el
dispositivo principal sincroniza su estado PPPoE con el dispositivo de respaldo.
Dado que el dispositivo pasivo utiliza la misma direccin IP que el dispositivo
principal, no tiene que establecer una nueva conexin PPPoE al convertirse en el
maestro. Por lo tanto, puede mantener la comunicacin con el concentrador de
accesos despus del fallo del dispositivo principal. Esto es necesario cuando la
interfaz PPPoE est soportando conexiones de VPN que deben mantenerse con la
misma IP de interfaz despus del fallo. Para obtener ms informacin sobre
configuraciones de alta disponibilidad, consulte Volumen 11: Alta disponibilidad.
252
Claves de licencia
La caracterstica de la clave de licencia permite ampliar las prestaciones del
dispositivo de seguridad de Juniper Networks sin tener que actualizar a otro
dispositivo o imagen del sistema. Se pueden comprar los siguientes tipos de claves:
Avanzada
Capacidad
Extendido
Virtualizacin
GTP
Vsys
IDP
Cada dispositivo de seguridad se suministra con un conjunto estndar de

caractersticas habilitadas y puede admitir la activacin de caractersticas
opcionales o aumentar la capacidad de las existentes. Para obtener ms
informacin sobre qu caractersticas pueden actualizarse en este momento,
consulte la documentacin comercial ms reciente de Juniper Networks.
El procedimiento para obtener y aplicar una clave de licencia es el siguiente:
1. Obtenga su cdigo de autorizacin y el nmero de serie del dispositivo.
Cdigo de autorizacin: Una clave de aprobacin para generar y activar la llave
de licencia que usted o su empresa adquiri para el dispositivo de seguridad de
Juniper Networks. Nota: El cdigo de autorizacin se necesita para generar su
clave de licencia que no es la clave de licencia real.
Nmero de serie del dispositivo: Es un cdigo de 16 caracteres nico que
Juniper Networks utiliza para identificar su dispositivo de seguridad especfico
cuando genera las claves de licencia. El nmero de serie del dispositivo lo
puede encontrar en la parte inferior o trasera del dispositivo. Tambin es
posible encontrar el nmero de serie en la seccin de informacin del
dispositivo en el GUI o al ejecutar el comando get system en CLI.
2. Regstrese en el Sistema de administracin de licencias de Juniper Networks
(LMS) en http://www.juniper.net/generate_license, seleccione el vnculo
Firewall/IPSec VPN and Intrusion Prevention , despus siga las instrucciones
que se encuentran en la interfaz del usuario del sistema.
3. El sistema de administracin de licencias de Juniper proporciona las claves de
licencia en una de estas dos maneras:
Al descargar la clave de licencia a su computadora.
Al recibir un correo electrnico con su clave de licencia.
Claves de licencia
253
4. Instale la clave de licencia en una de las siguientes maneras:

WebUI
Elija Configuration > Update > ScreenOS/Keys >, seleccione License Key
Update (caractersticas) >, haga clic en Browse >, seleccione el archivo con
su clave de licencia y despus haga clic en Apply.
CLI
exec license-key key_num
Registro y activacin de los servicios de suscripcin

Para que su dispositivo de seguridad de Juniper Networks puede recibir el servicio
regular de suscripcin para patrones antivirus (AV), firmas DI (Deep Inspection),
debe hacer lo siguiente:
Adquirir una suscripcin
Registrar la suscripcin
Descargar la clave de suscripcin
Al descargar la clave de licencia de suscripcin, sus servicios se activan en el

dispositivo por el periodo de tiempo que se adquiri. El proceso especfico de
activacin de servicios depende de los servicios que adquiri y del mtodo que
utiliz para adquirirlos.
Servicio de prueba
Para que usted pueda utilizar los servicio de AV, DI, anti-spam o filtrado de web, el
dispositivo de seguridad le otorga un periodo de prueba. Durante este tiempo, el
dispositivo puede obtener servicios temporalmente. Para descargar las claves de
licencia de prueba que se pueden elegir del servidor de autorizacin, utilice el
comando CLI exec license-key update trials.
Ningn dispositivo de seguridad de Juniper Networks se suministra con DI

habilitado. Para obtener el servicio DI de prueba, debe iniciar una sesin de
WebUI y hacer clic en el botn Retrieve Subscriptions Now en la pgina
Configuration > Update > ScreenOS/Keys. Por medio de esta accin
obtendr una clave DI nica, vlida para un solo da.
Si su dispositivo se suministra con el servicio AV incluido en el momento de la

compra, tendr preinstalado el servicio de prueba. Este servicio de prueba dura
hasta 60 das.
Anti-spam (contra bombardeo de publicidad)
Ningn dispositivo de seguridad de Juniper Networks se suministra con filtrado

web habilitado. Esta caracterstica no tiene un servicio de prueba.
ADVERTENCIA: Para evitar la interrupcin del servicio, debe registrar su dispositivo
de seguridad de Juniper Networks lo antes posible despus de adquirir su

suscripcin. El registro asegura la continuidad de la suscripcin.
254
Registro y activacin de los servicios de suscripcin
Actualizacin de claves de suscripcin

Si cuenta con un software instalado con fecha de vencimiento en el dispositivo de
seguridad, el dispositivo de seguridad se debe conectar peridicamente al servidor
autorizado para descargar las claves de suscripcin. El dispositivo se conecta al
servidor autorizado o sistema de administracin de licencias, bajo una de las
siguientes condiciones:
NOTA:
La clave tiene una fecha de vencimiento de dos meses
La clave tiene una fecha de vencimiento de un mes
La clave tiene una fecha de vencimiento de dos semanas
La clave se vence
30 das despus que la clave se vence
Para borrar una clave de licencia nica del archivo de claves, utilice el comando
CLI exec license-key delete name_str.
Agregar un antivirus, filtrado web, anti-Spam (contra bombardeo de publicidad) y ID

(Deep Inspection) a un dispositivo nuevo o existente
Despus de adquirir las suscripciones a antivirus, filtrado web, anti-Spam (contra
bombardeo de publicidad) y ID (Deep Inspection) para agregarlas a su dispositivo
de seguridad de Juniper Networks, lleve a cabo los siguientes pasos para activar los
servicios.
1. Despus de solicitar las suscripciones, recibir un cdigo de autorizacin por
correo electrnico, directamente de Juniper Networks o de su VAR autorizado.
Dicho cdigo es un documento legible que contiene la informacin que
necesita para registrar su suscripcin.
2. Cercirese de que el dispositivo est registrado. Si an no est registrado, vaya
al sitio siguiente:
http://tools.juniper.net/subreg
3. Registre el cdigo de autorizacin de suscripcin para el dispositivo.
4. Confirme que su dispositivo puede conectarse a Internet.
5. Descargue la clave de suscripcin en el dispositivo. Puede hacerlo de una de
dos maneras:
En la WebUI, haga clic en el botn Retrieve Subscriptions Now desde la

pgina Configuration > Update > ScreenOS/Keys.
Con la interfaz de lnea de comandos (CLI), ejecute el comando siguiente:

exec license-key update
6. Debe restablecer (resetear) el dispositivo despus de cargar la clave.
Registro y activacin de los servicios de suscripcin 255
Ahora puede configurar el dispositivo para que realice la descarga de los servicios
de firma de forma automtica o manual. Para obtener instrucciones sobre cmo
configurar su dispositivo de seguridad para estos servicios, consulte las siguientes
secciones:
Fragment Reassembly on page 4-54
Antivirus Scanning on page 4-57
Anti-Spam Filtering on page 4-77
Web Filtering on page 4-80
Reloj del sistema

Es importante que su dispositivo de seguridad de Juniper Networks siempre tenga
la hora exacta. Entre otras cosas, la hora de su dispositivo de seguridad afecta a la
configuracin de los tneles VPN y a la sincronizacin de programaciones. Primero,
para asegurarse de que el dispositivo siempre est a la hora exacta, debe ajustar el
reloj del sistema a la hora actual. A continuacin, puede habilitar la opcin del
horario de verano (daylight saving time) y configurar hasta tres servidores NTP
(uno principal y dos de respaldo) que el dispositivo de seguridad utilizar para
actualizar peridicamente su reloj del sistema.
Fecha y hora
Para poner el reloj en hora con la fecha y hora actuales, puede utilizar WebUI o CLI.
A travs de WebUI, esta operacin se efecta sincronizando el reloj del sistema con
el reloj de su computadora:
1. Configuration > Date/Time: Haga clic en el botn Sync Clock with Client.
Aparecer un mensaje preguntndole si tiene habilitada la opcin del horario
de verano en el reloj de su computadora.
2. Haga clic en Yes para sincronizar el reloj del sistema y ajustarlo segn el horario
de verano o invierno, o bien en No para sincronizarlo sin el ajuste de horario de
verano.
Con CLI, el reloj se pone en hora manualmente introduciendo la fecha y hora
mediante el comando set clock mm/dd/yyyy hh:mm:ss.
Huso horario
El huso horario se establece especificando el nmero de horas de adelanto o de
retraso de la hora local del dispositivo de seguridad con respecto a GMT
(Greenwich Mean Time, hora media de Greenwich). Por ejemplo, si el huso
horario local del dispositivo es la hora estndar del Pacfico (Pacific Standard Time
o PST), tendr un retraso de 8 horas con respecto a GMT. Por lo tanto, deber
poner el reloj en -8.
256
Reloj del sistema
Para establecer el huso horario mediante WebUI:

Configuration > Date/Time > Set Time Zone_hours_minutes from GMT
Para establecer el huso horario mediante CLI:
ns -> set clock timezone number (nmero entre -12 y 12)
o bien
ns -> set ntp timezone number (nmero entre -12 y 12)
Protocolo de hora de la red

Para asegurarse de que el dispositivo de seguridad siempre tenga la hora correcta,
puede utilizar el Protocolo de hora de red (NTP) para sincronizar el reloj del sistema
con el de un servidor NTP a travs de Internet. Puede hacer esto manualmente o
configurar el dispositivo para que realice esta sincronizacin automticamente a
intervalos determinados.
Configuracin de mltiples servidores NTP

Puede configurar hasta tres servidores NTP en un dispositivo de seguridad de
Juniper Networks: un servidor principal y dos servidores de respaldo. Cuando se
configura el dispositivo de seguridad para sincronizar el reloj del sistema de forma
automtica, efecta una consulta en cada servidor NTP configurado, repasando los
tres secuencialmente. El dispositivo siempre consulta primero al servidor NTP
principal. Si la consulta no obtiene respuesta, el dispositivo consulta seguidamente
al primer servidor NTP de respaldo, etc., hasta obtener una respuesta vlida de
alguno de los servidores NTP configurados en el dispositivo. Antes de finalizar la
actualizacin y registrar el fallo, el dispositivo realiza cuatro intentos en cada
servidor NTP.
La sincronizacin manual del reloj del sistema solamente se puede hacer mediante
CLI, pudiendo especificarse un servidor NTP determinado o ninguno. Si especifica
un servidor NTP, el dispositivo de seguridad nicamente consultar a ese servidor.
Si no especifica ningn servidor NTP, el dispositivo consultar, uno por uno, a cada
servidor NTP configurado en el dispositivo. Puede especificar un servidor NTP
utilizando su direccin IP o su nombre de dominio.
Configurar un servidor de respaldo del protocolo de hora de la red

Puede especificar una interfaz individual como la direccin de origen para dirigir las
solicitudes del Protocolo de hora de la red (NTP) del dispositivo a travs de un tnel
VPN al servidor principal NTP o a un servidor de respaldo, segn sea necesario.
Puede elegir entre otros tipos de interfaces, una interfaz loopback para que realice
esta funcin.
El dispositivo de seguridad enva solicitudes NTP desde una interfaz de origen y
utiliza, si as lo desea, una clave previamente compartida y encriptada cuando enva
las solicitudes NTP al servidor NTP. La clave ofrece autenticacin.
En el siguiente ejemplo, puede configurar el servidor NTP principal y dos servidores
NTP de respaldo al asignar una direccin IP a cada servidor. A continuacin, debe
ajustar cada servidor para que enve las solicitudes NTP desde la interfaz Trust.
Despus de eso, configure el identificador de claves y la clave previamente
compartida a cada uno de los servidores.
Reloj del sistema
257
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic en
Apply:
Primary Server IP/Name: 1.1.1.1
Identificador de claves del servidor principal: 10
Source interface: Seleccione Trust en la lista.
Preshared Key: !2005abc
Backup Server1 IP/Name: 1.1.1.2
Primary server Key ID: 10
Primary server Key ID: 10
CLI
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
set ntp
save
server 1.1.1.1
server backup1 1.1.1.2
server backup2 1.1.1.3
server src-interface trust
server backup1 src-interface trust
server backup2 src-interface trust
server key-id 10 pre-share-key !2005abc
server backup1 key-id 10 pre-share-key !2005abc
server backup2 key-id 10 pre-share-key !2005abc
Desfase temporal mximo

Para la sincronizacin automtica se puede especificar un valor mximo de desfase
(en segundos). El valor mximo de desfase es la mxima diferencia horaria
admisible entre el reloj del sistema del dispositivo de seguridad y la hora recibida
de un servidor NTP. El dispositivo solamente ajusta su reloj con la hora del servidor
NTP si la diferencia horaria entre su reloj y el servidor NTP es inferior al valor
mximo de desfase establecido. Por ejemplo, si el valor mximo de desfase horario
es de 3 segundos, la hora en el reloj del sistema del dispositivo son las 4:00:00 y el
servidor NTP enva 4:00:02 como hora actual, la diferencia entre ambos es
aceptable y el dispositivo puede actualizar su reloj. Si el desfase es superior al
mximo establecido, el dispositivo no sincroniza su reloj y procede a intentar
consultar al primer servidor NTP de respaldo configurado en el dispositivo. Si el
dispositivo no recibe una contestacin vlida despus de intentar consultar a todos
los servidores NTP configurados, genera un mensaje de error en el registro de
eventos. El valor predeterminado de esta caracterstica son 3 segundos y el rango
de valores permitidos es de 0 (sin lmite) a 3600 (una hora).
Al sincronizar manualmente el reloj del sistema, lo cual solamente es posible
mediante CLI, el dispositivo de seguridad no comprueba el desfase horario
mximo. En lugar de ello, si recibe una respuesta vlida, el dispositivo muestra un
mensaje informando sobre el servidor NTP alcanzado, el desfase horario existente
con l y el mtodo de autenticacin utilizado. El mensaje tambin pide que se
confirme o se cancele la actualizacin del reloj del sistema.
258
Reloj del sistema
Si el dispositivo de seguridad no recibe una respuesta, genera un mensaje de

vencimiento de tiempo de espera. Este mensaje aparece solamente despus de que
el dispositivo haya intentado sin xito alcanzar a todos los servidores NTP
configurados en el dispositivo.
NOTA:
Al enviar consultas mediante CLI, puede cancelar la peticin actual presionando

Ctrl-C en el teclado.
Protocolos NTP y NSRP

El protocolo de redundancia de NetScreen (NSRP) contiene un mecanismo para
sincronizar el reloj del sistema de los miembros de un clster NSRP. Aunque la
unidad de resolucin de sincronizacin es el segundo, NTP ofrece una resolucin
inferior al segundo. Dado que diferentes miembros de un clster pueden tener
horas distintas con variaciones de unos pocos segundos debido al retraso
ocasionado por el procesamiento, Juniper Networks recomienda desactivar la
sincronizacin horaria de NSRP cuando NTP est habilitado en dos miembros del
clster, para que ambos puedan actualizar su reloj del sistema desde un servidor
NTP. Para desactivar la funcin de sincronizacin horaria NSRP, introduzca el
siguiente comando:
set ntp no-ha-sync
Ajuste de un valor de desfase horario mximo en un servidor NTP

En el ejemplo siguiente configurar el dispositivo de seguridad para actualizar su
reloj a intervalos de cinco minutos consultando los servidores NTP de las
direcciones IP 1.1.1.1, 1.1.1.2 y 1.1.1.3. Tambin establecer un valor mximo de
desfase horario de 2 segundos.
WebUI
Configuration > Date/Time: Introduzca los siguientes datos y haga clic en
Apply:
Automatically synchronize with an Internet Time Server (NTP): (seleccione)
Update system clock every minutes: 5
Maximum time adjustment seconds: 2
Primary Server IP/Name: 1.1.1.1
CLI
set clock ntp
set ntp server 1.1.1.1
set ntp server backup1 1.1.1.2
set ntp server backup2 1.1.1.3
set ntp interval 5
set ntp max-adjustment 2
save
Reloj del sistema
259
Asegurar los servidores NTP

Puede asegurar el trfico NTP aplicando la suma de comprobacin basada en MD5
para autenticar los paquetes NTP. No es necesario crear un tnel IPSec. Este tipo de
autenticacin asegura la integridad del trfico NTP. No impide a los interlocutores
externos ver los datos, pero evita que cualquier usuario pueda manipularlos.
Para habilitar la autenticacin del trfico NTP, debe asignar una identificacin de
clave y una clave previamente compartida nicas a cada servidor NTP que
configure en un dispositivo de seguridad. La identificacin de clave y la clave
previamente compartida sirven para generar una suma de comprobacin con la
que el dispositivo de seguridad y el servidor NTP pueden autenticar los datos.
Existen dos tipos de autenticacin para el trfico NTP:
Required
Preferred:
Cuando se selecciona la autenticacin Required, el dispositivo de seguridad debe

incluir la informacin de autenticacin (identificacin de clave y suma de
comprobacin) en cada paquete que enva a un servidor NTP y debe autenticar
todos los paquetes NTP que recibe de un servidor NTP. Para poder establecer la
autenticacin entre un dispositivo de seguridad y un servidor NTP, los
administradores del dispositivo de seguridad y del servidor NTP deben
intercambiar primero una identificacin de clave y una clave previamente
compartida. Tienen que intercambiarlas manualmente, para lo que disponen de
varios mtodos, por ejemplo, correo electrnico o telfono.
Al seleccionar la autenticacin Preferred, el dispositivo de seguridad primero debe
funcionar como si estuviese en el modo Required, intentando autenticar todo el
trfico NTP. Si todos los intentos de autenticacin fallan, el dispositivo de seguridad
pasa a funcionar como si no se hubiese seleccionado ninguna autenticacin. Enva
paquetes a un servidor NTP, sin incluir identificacin de clave ni suma de
comprobacin. En esencia, aunque existe cierta preferencia por la autenticacin, si
sta falla el dispositivo de seguridad sigue permitiendo el trfico NTP.
260
Reloj del sistema
ndice
A
alarmas, umbrales de ..................................................177
ALG
MS RPC ...................................................................133
para servicios personalizados ..............................172
RTSP .......................................................................134
Sun RPC ..................................................................131
alta disponibilidad
Vase HA
ancho de banda ...........................................................178
administrar ............................................................197
garantizado ............................................178, 197, 203
mximo ..................................................178, 197, 203
mximo ilimitado ..................................................198
ARP..................................................................................84
ARP, direccin IP de entrada ........................................87
asignacin de trfico ...................................................197
automtica .............................................................198
prioridades del servicio ........................................202
autenticacin
Allow Any ...............................................................176
directivas ................................................................174
usuarios ..................................................................174
autenticacin en tiempo de ejecucin ......................175
C
claves de licencia .........................................................253
claves, licencia .............................................................253
CLI, set arp always-on-dest .....................................76, 79
colas de prioridad
de ancho de banda ...............................................202
predeterminadas ...................................................202
Conjuntos de direcciones IP
vase Conjuntos de DIP
Conjuntos de IP dinmico (DIP).................................174
D
DHCP ..............................................................98, 102, 246
agente de retransmisin.......................................229
client .......................................................................229
HA ...........................................................................236
servidor ..................................................................229
DiffServ .................................................................178, 204
Vase tambin DS Codepoint Marking
DIP............................................................... 101, 144 a 148
conjuntos ................................................................174
conjuntos, modificar .............................................147
grupos ...........................................................157 a 159
PAT ..................................................................145, 146
puerto fijo ...............................................................147
direcciones
definicin................................................................170
en directivas ...........................................................170
entradas en la libreta de direcciones ........106 a 110
ID de IP, de host y de red.......................................55
privadas ....................................................................56
pblicas.....................................................................55
Direcciones IP
Administracin ........................................................97
direcciones IP
ID de host .................................................................55
ID de red...................................................................55
interfaces, seguimiento de .....................................65
privadas ....................................................................55
pblicas.....................................................................55
puertos, definicin para cada uno.......................106
rangos de direcciones privadas .............................56
secundarias ..............................................................59
secundarias, enrutamiento entre ..........................59
zonas de seguridad L3 ....................................54 a 56
direcciones IP secundarias ...........................................59
direcciones privadas ......................................................56
direcciones pblicas ......................................................55
direcciones, negacin de ............................................191
directivas...........................................................................3
acciones ..................................................................171
administracin .......................................................179
administrar ancho de banda ................................197
alarmas ...................................................................177
aplicacin, enlazar explcitamente servicio a ....172
asignacin de trfico .............................................178
autenticacin..........................................................174
cambiar...................................................................194
colocar al principio ........................................173, 195
contexto de una directiva .....................................189
copia de seguridad de la sesin HA ....................176
Deep Inspection (DI) .............................................173
denegar ...................................................................171
dentro de zonas .....................................165, 179, 187
desactivar ...............................................................194
ndice
IX-I
Concepts & Examples ScreenOS Reference Guide
direcciones ............................................................. 170

direcciones en ....................................................... 170
edicin .................................................................... 194
elementos requeridos ........................................... 164
eliminar .................................................................. 196
entre zonas ............................................ 165, 179, 182
funciones de .......................................................... 163
globales .................................................. 166, 179, 188
grupos de DIP ........................................................ 158
grupos de direcciones........................................... 170
grupos de servicios ............................................... 142
grupos de usuarios de acceso telefnico
a VPN ................................................................... 170
habilitar .................................................................. 194
ID ............................................................................ 170
L2TP ........................................................................ 173
libro de servicios ................................................... 111
lmite mximo ....................................................... 109
listas de conjuntos de directivas ......................... 167
mltiples elementos por componente................ 190
NAT-dst................................................................... 174
NAT-src ................................................................... 174
negacin de direcciones....................................... 191
nombre ................................................................... 172
ocultar ............................................................ 194, 195
orden ...................................................................... 196
permit ..................................................................... 171
rechazo ................................................................... 171
recuento ................................................................. 177
registro de trfico .................................................. 176
reglas internas ....................................................... 168
reordenar ............................................................... 195
secuencia de bsqueda ........................................ 167
servicios ................................................................. 170
servicios en .................................................... 111, 170
sistema raz ............................................................ 168
sistemas virtuales .................................................. 168
tareas programadas .............................................. 177
tipos .............................................................. 165 a 166
tnel ........................................................................ 171
tneles L2TP .......................................................... 173
verificar .................................................................. 194
VPN ......................................................................... 172
VPN bidireccionales .............................................. 172
zonas de seguridad ............................................... 170
directivas de acceso
Vase directivas
Directivas L2TP ............................................................ 173
DNS ............................................................................... 221
Bsquedas .............................................................. 222
consultas de dominios .......................................... 227
divisin de direcciones ......................................... 227
encapsulamiento a servidores ............................. 227
servidores............................................................... 247
IX-II
ndice
tabla de estado ......................................................223

DS Codepoint Marking ........................................198, 204
DSL ........................................................................242, 246
E
enrutadores virtuales
vase VR
Etiquetas VLAN ................................................................4
etiquetas VLAN ................................................................4
F
filtrado de URL
Consulte filtrado de web
filtrado de web .............................................................176
flujo de paquetes ................................................... 11 a 13
G
gestin de colas de prioridades .................................202
grficos de historial .....................................................177
grupos
direcciones .............................................................108
servicios..................................................................142
grupos de direcciones .........................................108, 170
crear ........................................................................110
edicin ....................................................................110
entradas, eliminar .................................................110
opciones .................................................................108
grupos de servicios ............................................ 142 a 144
crear ........................................................................143
eliminar ..................................................................144
modificar ................................................................143
grupos de servicios (WebUI) .......................................142
H
HA
DHCP ......................................................................236
HA virtual, interfaces de .........................................47
interfaces ..................................................................47
vase tambin NSRP
historial, grficos .........................................................177
huso horario .................................................................256
I
interfaces
activas fsicamente..................................................62
activas lgicamente ................................................62
agregadas .................................................................46
asociar a zonas ........................................................54
cambios de estado ..................................................62
conexiones, supervisin de....................................64
de bucle invertido ...................................................60
DIP ..........................................................................144
direccionar ...............................................................54
direcciones IP secundarias .....................................59
ndice
fsicas ..........................................................................3
fsicas en zonas de seguridad ................................45
HA .............................................................................47
HA virtual .................................................................47
inactivas fsicamente ..............................................62
inactivas lgicamente .............................................62
MGT...........................................................................47
modificar ..................................................................56
predeterminadas .....................................................56
redundantes .............................................................46
Seguimiento de IP (Vase seguimiento de IP)
tabla de interfaces, visualizar ................................52
tnel ............................................................ 48, 48 a 51
tnel de NAT basada en directivas........................48
visualizar tabla de interfaces .................................52
VLAN1.......................................................................83
VSI .............................................................................47
zona de funcin .......................................................47
zona de funcin de HA ...........................................47
zonas de seguridad L3 ............................................54
zonas, separar de ....................................................54
interfaces agregadas ......................................................46
interfaces de bucle invertido ........................................60
interfaces de HA virtual ................................................47
Interfaces de ScreenOS
fsicas ..........................................................................3
subinterfaces..............................................................4
zonas de seguridad ...................................................3
interfaces de tnel .........................................................48
definicin .................................................................48
NAT basada en directivas .......................................48
interfaces de zonas de funcin ....................................47
administracin.........................................................47
HA .............................................................................47
interfaces, supervisin de ..................................... 70 a 75
bucles ........................................................................71
zonas de seguridad .................................................75
IP de administracin .....................................................97
ISP .................................................................................227
L
libretas de direcciones
direcciones, agregar ..............................................107
direcciones, eliminar ............................................110
direcciones, modificar ..........................................107
entradas..................................................................106
entradas de grupos, editar ...................................110
grupos .....................................................................108
Vase tambin direcciones
libro de servicio, servicios
agregar....................................................................126
personalizado (CLI) ...............................................126
personalizados .......................................................111
preconfigurado ......................................................111
libro de servicios
entradas, eliminar (CLI) ........................................127
entradas, modificar (CLI) ......................................126
M
mscaras de red .....................................................55, 170
MGT, interfaz ..................................................................47
MIP ..................................................................................12
MIP, a una zona con NAT basada en interfaces ..........96
modo de ruta ......................................................100 a 103
ajustes de interfaz .................................................101
NAT-src ...................................................................101
modo NAT .............................................................94 a 100
ajustes de interfaz ...................................................97
trfico a la zona Untrust ...................................81, 96
modo transparente ................................................82 a 94
ARP/trace-route .......................................................85
bloquear trfico no ARP .........................................84
bloquear trfico no IP .............................................84
inundacin ...............................................................85
opciones unicast ......................................................85
rutas ..........................................................................84
trfico broadcast ......................................................83
modos
Combined .................................................................37
disponibilidad del modo de puerto .......................34
Dual DMZ .................................................................39
Dual Untrust .............................................................36
Home-Work..............................................................35
NAT, trfico a la zona Untrust ...............................81
puerto .......................................................................33
Transparente ............................................................82
Trust-Untrust ............................................................34
modos de puertos ..........................................................33
Ajuste ........................................................................40
Combined .................................................................37
disponibilidad ..........................................................34
Dual DMZ .................................................................39
Dual Untrust .............................................................36
Home-Work..............................................................35
Modo DMZ/Dual Untrust.........................................38
predeterminados .....................................................34
Trust/Untrust/DMZ (extendido) ..............................38
Trust-Untrust ............................................................34
MS RPC ALG, definido .................................................133
N
NAT basada en directivas, interfaces de tnel de.......48
NAT-src, modo de ruta .................................................101
negacin de direcciones .............................................191
NetInfo ..........................................................................230
niveles de prioridad
de ancho de banda ................................................202
NSRP
ndice
IX-III
copia de seguridad de la sesin HA .................... 176

DHCP ...................................................................... 236
grupos de DIP .............................................. 157 a 159
interfaces redundantes ........................................... 46
sincronizacin NTP ............................................... 259
VSI ............................................................................. 47
NTP ..................................................................... 257 a 260
desfase horario mximo ...................................... 258
mltiples servidores.............................................. 257
servidores............................................................... 257
servidores seguros ................................................ 260
sincronizacin NSRP............................................. 259
tipos de autenticacin .......................................... 260
O
opcin de aplicacin, en directivas ........................... 172
opciones unicast desconocidas ........................ 84 a 89
ARP ................................................................... 86 a 89
inundacin ....................................................... 85 a 86
trace-route ................................................................ 87
P
parmetros del sistema .............................................. 259
PAT................................................................................. 145
personalizados, servicios
ALG ......................................................................... 172
Proveedor de servicios de Internet (ISP) .................. 227
Q
QoS (calidad del servicio) ........................................... 197
R
Rango IP dinmico(DIP) ............................................. 147
red, ancho de banda ................................................... 197
registro .......................................................................... 176
reglas, derivadas de directivas ................................... 168
reloj del sistema................................................. 256 a 260
fecha y hora ........................................................... 256
huso horario .......................................................... 256
sincronizacin con cliente ................................... 256
RFC
0792, Protocolo de mensajes de control de Internet ..
130
1349, Type of Service in the Internet Protocol Suite
178
1918, Address Allocation for Private Internets .....56
2132, Extensiones del proveedor BOOTP y opciones
DHCP .............................................................234
2326, Protocolo de secuencia en tiempo real (RTSP) .
134, 138
2474, Definition of the Differentiated Services
Field (DS Field) in the IPv4 and IPv6 Headers..178
RSH ALG ....................................................................... 131
RTSP ALG
IX-IV
ndice
cdigos de estado ..................................................137

definido ..................................................................134
mtodos de peticin .............................................135
servidor en dominio privado ...............................139
servidor en dominio pblico ................................140
S
SCREEN, zona MGT .......................................................28
ScreenOS
directivas ....................................................................3
flujo de paquetes ............................................. 11 a 13
sistemas virtuales ....................................................10
vista general ...............................................................1
zona de seguridad global..........................................2
zona global ...............................................................28
zonas ................................................................ 25 a 33
zonas de funcin .....................................................32
zonas de seguridad .............................................2, 28
zonas de seguridad predefinidas .............................2
zonas de tnel .........................................................28
seguimiento de IP
interfaces compartidas ...........................................65
interfaces compatibles............................................65
opcin dynamic ...................................................66
peso ..........................................................................67
redireccionar el trfico ................................... 65 a 80
umbral de fallos del objeto ....................................66
vsys ...........................................................................65
seguimiento de IP, fallo del
interfaz de entrada, en ................................... 78 a 80
interfaz de salida, en ...................................... 76 a 77
umbral de IP supervisado ......................................66
servicios ........................................................................111
definicin ...............................................................170
en directivas ..........................................................170
ICMP .......................................................................130
lista desplegable ....................................................111
umbral del tiempo de espera ...............................127
servicios ICMP..............................................................130
cdigos de mensaje ..............................................130
tipos de mensaje ...................................................130
servicios personalizados .............................................125
servicios personalizados, en raz y vsys ....................125
servicios, personalizados ............................................125
en vsys....................................................................125
Sistema de nombres de dominio
Consulte DNS
sistema, reloj
Consulte el reloj del sistema
sistemas virtuales ..........................................................10
subinterfaces ....................................................................4
crear (sistema raz) .................................................57
eliminar ....................................................................58
Sun RPC ALG
ndice
definido ..................................................................131
supuestos de llamadas ..........................................131
suscripciones
registro y activacin .................................... 254 a 256
servicio temporal...................................................254
T
tareas programadas .............................................160, 177
trace-route ......................................................................87
Traduccin de direcciones de puertos
Consulte PAT
trfico
asignacin ..............................................................197
prioridad .................................................................178
recuento .................................................................177
registro ...................................................................176
U
usuarios de autenticacin
autenticacin en tiempo de ejecucin ................175
autenticacin previa a la directiva ......................175
proceso de autenticacin en tiempo de ejecucin ..
tnel ..........................................................................28
VLAN ...................................................................33, 83
zonas de seguridad ....................................................2, 28
determinacin de la zona de destino....................12
determinacin de la zona de origen .....................11
global ..........................................................................2
predefinido .................................................................2
zonas de seguridad e interfaces .....................................3
zonas de seguridad, interfaces .....................................45
fsicas ........................................................................45
zonas de seguridad, interfaces de
subinterfaces ............................................................46
zonas de, seguridad
interfaces, supervisin de ......................................75
zonas, ScreenOS ....................................................25 a 33
interfaces de seguridad.............................................3
predefinido .................................................................2
zonas, seguridad
interfaces, fsicas .....................................................45
subinterfaces ............................................................46
175
WebAuth ................................................................175
V
VIP ...................................................................................12
VIP, a una zona con NAT basada en interfaces ..........96
VLAN1
interfaz ...............................................................83, 89
zonas.........................................................................83
VPN
a una zona con NAT basada en interfaces ...........96
directivas ................................................................172
zonas de tnel .........................................................28
VR
introduccin ...............................................................4
reenviar trfico entre dos .........................................5
W
WebAuth, proceso de autenticacin previo a directivas
175
Z
zona VLAN ......................................................................83
zonas ....................................................................... 25 a 33
definicin .................................................................30
edicin ......................................................................31
funcin .....................................................................32
funcin, interfaz MGT .............................................47
global ........................................................................28
interfaces de seguridad ..........................................45
Layer 2 ......................................................................83
seguridad global ........................................................2
ndice
IX-V
IX-VI
ndice

Fundamentos Ce v2 SP

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Fundamentos Ce v2 SP

Uploaded by

Copyright:

Available Formats

Concepts & Examples

ScreenOS Reference Guide

Versin 5.3.0, Rev. B

Juniper Networks, Inc.

Reorient or relocate the receiving antenna.

Increase the separation between the equipment and receiver.

Consult the dealer or an experienced radio/TV technician for help.

Writers: Anita Davey, Carrie Nowocin, Jozef Wroblewski

Convenciones del documento .......................................................................... x

Zonas de seguridad .......................................................................................... 2

Visualizar las zonas preconfiguradas .............................................................. 26

Modo combinado .................................................................................... 37

Modos de las interfaces

Bloques para la construccin de directivas

Personalizar Microsoft Remote Procedure Call

Elementos bsicos .......................................................................................164

Creacin de directivas ...........................................................................179

Administracin del ancho de banda a nivel de directivas .............................197

Parmetros del sistema

Compatibilidad con DNS (sistema de nombres de dominio) ........................221

Configuracin de mltiples sesiones PPPoE a travs

Acerca de este volumen

Captulo 1, En Arquitectura de ScreenOS, se describen los elementos

Captulo 2, En Zonas, se explican las zonas de seguridad, las zonas de tnel y

Captulo 3, Interfaces, describe las diferentes interfaces fsicas, lgicas y

Captulo 4, En Modos de las interfaces, se explican los conceptos

Captulo 5, En Bloques para la construccin de directivas, se explican los

Captulo 6, En Directivas, se examinan los componentes y las funciones de

Captulo 7, Asignacin de trfico, En se explica cmo gestionar el ancho de

Captulo 8, En Parmetros del sistema, se describen los conceptos

Convenciones del documento

Convenciones de la interfaz de lnea de comandos (CLI) en esta pgina

Convenciones para las ilustraciones en la pgina xi

Convenciones de nomenclatura y conjuntos de caracteres en la pgina xii

Convenciones de la interfaz grfica (WebUI) en la pgina xiii

Convenciones de la interfaz de lnea de comandos (CLI)

Los elementos entre corchetes [ ] son opcionales.

Los elementos entre llaves { } son obligatorios.

Si existen dos o ms opciones alternativas, aparecern separadas entre s por

significa establecer las opciones de administracin de la interfaz ethernet1,

Las variables aparecen en cursiva:

Convenciones del documento

Los comandos aparecen en negrita.

Las variables aparecen en cursiva.

Acerca de este volumen

Convenciones para las ilustraciones

Red de rea local (LAN) con

Dispositivo de seguridad general

Dominio de enrutamiento virtual

Interfaz de la zona de seguridad

Dispositivo de red genrico

Convenciones del documento

Convenciones de nomenclatura y conjuntos de caracteres

Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber

Cualquier espacio al comienzo o al final de una cadena entrecomillada se

Los espacios consecutivos mltiples se tratan como uno solo.

En las cadenas de nombres se distingue entre maysculas y minsculas; por el

ScreenOS admite los siguientes conjuntos de caracteres:

Convenciones del documento

Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de

Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin

Acerca de este volumen

Convenciones de la interfaz grfica (WebUI)