Scribd
Cargar
16 vistas136 páginas

Curso Avanzado Telefonica SRX 300

Este documento presenta un taller avanzado sobre el SRX300 de Juniper Networks. Cubre temas como el funcionamiento del SRX300 en modo firewall y router, conceptos de seguridad como zonas, políticas de seguridad y NAT, fundamentos de enrutamiento incluyendo rutas estáticas y OSPF, y calidad de servicio. El taller parece estar dirigido a profesionales de redes y seguridad para mejorar su conocimiento sobre el equipo SRX300 y sus capacidades.

Cargado por

Frank Contreras
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
16 vistas136 páginas

Curso Avanzado Telefonica SRX 300

Este documento presenta un taller avanzado sobre el SRX300 de Juniper Networks. Cubre temas como el funcionamiento del SRX300 en modo firewall y router, conceptos de seguridad como zonas, políticas de seguridad y NAT, fundamentos de enrutamiento incluyendo rutas estáticas y OSPF, y calidad de servicio. El taller parece estar dirigido a profesionales de redes y seguridad para mejorar su conocimiento sobre el equipo SRX300 y sus capacidades.

Cargado por

Frank Contreras
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 136

SRX300 SERVICES GATEWAYS

Taller de Capacitación Avanzado


Instructor: Lenin Peña

Telefónica de Venezuela
7 y 8 de Noviembre de 2016
CONTENIDO

1 OPERACIÓN DEL SRX300

Modo Firewall
Modo Router

2 CONCEPTOS DE SEGURIDAD
Zonas
Políticas de Seguridad
NAT
3 FUNDAMENTOS DE ENRUTAMIENTO
Conceptos básicos de Enrutamiento
Tablas de Enrutamiento y de Forwarding
Configuración y Monitoreo de rutas estáticas
Configuración y Monitoreo de OSPF
4 CLASS OF SERVICE (CoS)
Definición
Clasificación de Tráfico
Scheduling
5 MISCELÁNEOS
OPERACIÓN DEL SRX300 Página 2 de 10

CAPITULO 1. Operación del SRX300

Este capitulo abarca:


• Modo Firewall
• Modo Router
OPERACIÓN DEL SRX300 Página 3 de 10

Gateway de Servicios
Modelo SRX300
Especificaciones técnicas:
 Rendimiento routing/firewall: hasta 5Gbps
 Cantidad máxima de sesiones concurrentes (IPv4 ó IPv6): 64.000
 Cantidad máxima de políticas de seguridad: 1.000
 Conexiones por segundo: 5.000
 Tamaño de la tabla MAC: 15.000
 Interfaces disponibles:
- 6 puertos de 1GbE RJ-45
- 2 puertos de 1GbE SFP
- 1 puerto de gestión RJ-45 + miniUSB
- 1 puerto USB 2.0 (tipo A)
 Puertos MACsec: 2x1GbE
 Memoria RAM: 4GB
 Almacenamiento (flash): 8GB
 Protocolos de enrutamiento: IPv4, IPv6, rutas estáticas, RIP v1/v2, OSPF/OSPF v3, BGP con reflector de ruta, IS-IS,
multicast, encapsulación
 Fuente de alimentación DC (externa)
 Dimensiones: 32,08 x 3,47 x 19,10cm
 Peso: 1,98Kg

Incluye:
 Software Juniper Secure Branch con servicios de Firewall, NAT, IPSec, Routing y Switching
OPERACIÓN DEL SRX300 Página 4 de 10

Modo Router y Modo Firewall

Modo Router Modo Firewall


• Routing Provee todos los Servicios del modo router
• Quality of service (QoS) y además:
• Link fragmentation and interleaving (LFI)
• Generic routing encapsulation (GrE) and •Stateful inspection firewall (including
IP over IP (IP-IP) tunneling (no screens)
fragmentation and reassembly) • NAT
• L2 switching • IPsec
• MPLS • J-Flow
• IPv6 • Intrusion detection and prevention
• Compressed real-Time Transport Protocol • UTM
(CrTP) • GrE fragmentation and reassembly
OPERACIÓN DEL SRX300 Página 5 de 10

Modo Router y Modo Firewall

La gama SRX de Juniper viene configurada por defecto en Modo Firewall. Para cambiar a modo Router
deben seguirse los siguientes pasos:

1. Borrar la configuración de seguridad del equipo.


[edit]
user@SRX300# delete security

2. Configurar las familias mpls, iso e ipv6 en el modo “packet-based”


[edit]
user@SRX300# set security forwarding-options family mpls mode packet-based
user@SRX300# set security forwarding-options family iso mode packet-based
user@SRX300# set security forwarding-options family ipv6 mode packet-based
user@SRX300# commit

3. Reiniciar el equipo
user@SRX300> request system reboot
CONCEPTOS DE SEGURIDAD Página 6 de 10

CAPITULO 2. Conceptos de Seguridad

Este capitulo abarca:


• Zonas
• Políticas de Seguridad
• NAT
CONCEPTOS DE SEGURIDAD Página 7 de 10

Zonas
CONCEPTOS DE SEGURIDAD Página 8 de 10

Zonas
CONCEPTOS DE SEGURIDAD Página 9 de 10

Tipos de Zonas
CONCEPTOS DE SEGURIDAD Página 10 de 10

Tipos de Zonas
CONCEPTOS DE SEGURIDAD Página 11 de 10

Tipos de Zonas
CONCEPTOS DE SEGURIDAD Página 12 de 10

Tipos de Zonas
CONCEPTOS DE SEGURIDAD Página 13 de 10

Tipos de Zonas
CONCEPTOS DE SEGURIDAD Página 14 de 10

Tipos de Zonas
CONCEPTOS DE SEGURIDAD Página 15 de 10

Tipos de Zonas
CONCEPTOS DE SEGURIDAD Página 16 de 10

Configuración de Zonas
CONCEPTOS DE SEGURIDAD Página 17 de 10

Configuración de Zonas
CONCEPTOS DE SEGURIDAD Página 18 de 10

Configuración de Zonas
CONCEPTOS DE SEGURIDAD Página 19 de 10

Configuración de Zonas
CONCEPTOS DE SEGURIDAD Página 20 de 10

Configuración de Zonas
CONCEPTOS DE SEGURIDAD Página 21 de 10

Configuración de Zonas
CONCEPTOS DE SEGURIDAD Página 22 de 10

Monitoreo de Zonas
CONCEPTOS DE SEGURIDAD Página 23 de 10

Monitoreo de Zonas
CONCEPTOS DE SEGURIDAD Página 24 de 10

Monitoreo de Zonas
CONCEPTOS DE SEGURIDAD Página 25 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 26 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 27 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 28 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 29 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 30 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 31 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 32 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 33 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 34 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 35 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 36 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 37 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 38 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 39 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 40 de 10

Políticas de Seguridad
CONCEPTOS DE SEGURIDAD Página 41 de 10

Monitoreo de Políticas de Seguridad


CONCEPTOS DE SEGURIDAD Página 42 de 10

Monitoreo de Políticas de Seguridad


CONCEPTOS DE SEGURIDAD Página 43 de 10

Monitoreo de Políticas de Seguridad


CONCEPTOS DE SEGURIDAD Página 44 de 10

Caso de estudio :: Políticas de seguridad


CONCEPTOS DE SEGURIDAD Página 45 de 10

Caso de estudio :: Políticas de seguridad


CONCEPTOS DE SEGURIDAD Página 46 de 10

Caso de estudio :: Políticas de seguridad


CONCEPTOS DE SEGURIDAD Página 47 de 10

Caso de estudio :: Políticas de seguridad


CONCEPTOS DE SEGURIDAD Página 48 de 10

NAT
CONCEPTOS DE SEGURIDAD Página 49 de 10

NAT
CONCEPTOS DE SEGURIDAD Página 50 de 10

NAT
CONCEPTOS DE SEGURIDAD Página 51 de 10

Tipos de NAT
CONCEPTOS DE SEGURIDAD Página 52 de 10

Source NAT
CONCEPTOS DE SEGURIDAD Página 53 de 10

Source NAT
CONCEPTOS DE SEGURIDAD Página 54 de 10

Interface Source NAT


CONCEPTOS DE SEGURIDAD Página 55 de 10

Interface Source NAT


CONCEPTOS DE SEGURIDAD Página 56 de 10

Interface Source NAT


CONCEPTOS DE SEGURIDAD Página 57 de 10

Pool-based Source NAT with PAT


CONCEPTOS DE SEGURIDAD Página 58 de 10

Pool-based Source NAT with PAT


CONCEPTOS DE SEGURIDAD Página 59 de 10

Pool-based Source NAT with PAT


CONCEPTOS DE SEGURIDAD Página 60 de 10

Address-Persistent
CONCEPTOS DE SEGURIDAD Página 61 de 10

Pool-based Source NAT without PAT


CONCEPTOS DE SEGURIDAD Página 62 de 10

Pool-based Source NAT without PAT


CONCEPTOS DE SEGURIDAD Página 63 de 10

Pool-based Source NAT without PAT


CONCEPTOS DE SEGURIDAD Página 64 de 10
CONCEPTOS DE SEGURIDAD Página 65 de 10

Source NAT
CONCEPTOS DE SEGURIDAD Página 66 de 10

Source NAT
CONCEPTOS DE SEGURIDAD Página 67 de 10

Source NAT
CONCEPTOS DE SEGURIDAD Página 68 de 10

Destination NAT
CONCEPTOS DE SEGURIDAD Página 69 de 10

Destination NAT
CONCEPTOS DE SEGURIDAD Página 70 de 10

Pool-based Destination NAT


CONCEPTOS DE SEGURIDAD Página 71 de 10

Pool-based Destination NAT


CONCEPTOS DE SEGURIDAD Página 72 de 10

Pool-based Destination NAT


CONCEPTOS DE SEGURIDAD Página 73 de 10

Pool-based Destination NAT


CONCEPTOS DE SEGURIDAD Página 74 de 10

Pool-based Destination NAT


CONCEPTOS DE SEGURIDAD Página 75 de 10

Pool-based Destination NAT


CONCEPTOS DE SEGURIDAD Página 76 de 10

Static NAT
CONCEPTOS DE SEGURIDAD Página 77 de 10

Static NAT
CONCEPTOS DE SEGURIDAD Página 78 de 10

Static NAT
CONCEPTOS DE SEGURIDAD Página 79 de 10

NAT
CONCEPTOS DE SEGURIDAD Página 80 de 10

Monitoreo de NAT
FUNDAMENTOS DE ENRUTAMIENTO Página 81 de 10

CAPITULO 3. Fundamentos de enrutamiento

Este capitulo abarca:


• Conceptos básicos de Enrutamiento
• Tablas de Enrutamiento y de Forwarding
• Configuración y Monitoreo de rutas estáticas
• Configuración y Monitoreo de OSPF
FUNDAMENTOS DE ENRUTAMIENTO Página 82 de 10

Definición
 El enrutamiento es, básicamente, el proceso de transmitir información a través de redes capa 3.
 A pesar de que los Routers son los dispositivos de más comunes para realizar operaciones de
enrutamiento, tome en cuenta que muchos switchs y dispositivos de seguridad también realizan este
tipo de funciones.
 Tome en cuenta también, que el Internet no es una red única, sino la agregación de muchas redes
independientes interconectadas
FUNDAMENTOS DE ENRUTAMIENTO Página 83 de 10

Tabla de Enrutamiento

 Compila la información aprendida de los protocolos de enrutamiento y otras fuentes de información de


enrutamiento
 Selecciona una ruta activa para cada destino
 Publica la Tabla de Forwarding
 Las tablas de enrutamiento únicas maestras son inet.0 para IPv4 y inet6.0 para IPv6
FUNDAMENTOS DE ENRUTAMIENTO Página 84 de 10

Múltiples Tablas de Enrutamiento

 La siguiente es una lista de las tablas de enrutamiento pre-definidas más comunes que encontrará en
dispositivos Junos:

-inet.0: Usada para rutas IPv4 unicast;


-inet.1: Usada para el cache de forwarding multicast;
-inet.2: Usada por rutas MBGP (Multicast Border Gateway Protocol) para realizar chequeos de RPF
(Reverse Path Forwarding);
-inet.3: Usada para información de paths MPLS;
-inet.4: Usada para rutas MSDP (Multicast Source Discovery Protocol)
-inet6.0: Usada para rutas IPv6 unicast
-mpls.0: Usada para next hops MPLS
FUNDAMENTOS DE ENRUTAMIENTO Página 85 de 10

Preferencias de Enrutamiento

 Junos utiliza la preferencia para diferenciar rutas recibidas de diferentes protocolos de enrutamiento u otras
fuentes de información de enrutamiento

 La preferencia es el criterio primero para la selección de rutas activas


- Usado como desempate cuando el mismo destino es alcanzable por múltiples rutas

Tipo de Ruta Preferencia Tipo de Ruta Preferencia

Directa 0 RIP 100


Local 0 RIPng 100
Rutas del Sistema 4 DVMRP 110
Estáticas y LSP Estáticos 5 Agregadas 130
RSVP LSPs 7 OSPF Externas 150
LDP LSPs 9 IS-IS nivel 1 externas 160
OSPF Internas 10 IS-IS nivel 3 externas 165
IS-IS nivel 1 15 BGP (externas e internas) 170
IS-IS nivel 2 18 MSDP 175
FUNDAMENTOS DE ENRUTAMIENTO Página 86 de 10

Selección de las rutas activas

 El siguiente ejemplo muestra como una ruta estática, con una preferencia de 5, es seleccionada como ruta
activa sobre una ruta OSPF interna con una preferencia de 10:

user@host> show route 192.168.36.1 exact


inet.0: 5 destinations, 6 routes (5 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

192.168.36.1/32 *[Static/5] 00:00:31


> to 10.1.1.2 via ge-0/0/10.0
[OSPF/10] 00:02:21, metric 1
> to 10.1.1.2 via ge-0/0/10.0
FUNDAMENTOS DE ENRUTAMIENTO Página 87 de 10

Selección de las rutas activas

 Si existen dos o más rutas de igual preferencia para el mismo destino, el proceso de enrutamiento (rpd)
seleccionara aleatoriamente una de las rutas disponibles como ruta activa

user@host> show route 10.1.0.0/16


inet.0: 10 destinations, 10 routes (10 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
10.1.1.0/24 *[Static/5] 00:00:25
to 172.20.66.2 via ge-0/0/2.0
> to 172.20.77.2 via ge-0/0/3.0
10.1.2.0/24 *[Static/5] 00:00:25
> to 172.20.66.2 via ge-0/0/2.0
to 172.20.77.2 via ge-0/0/3.0
10.1.3.0/24 *[Static/5] 00:00:25
to 172.20.66.2 via ge-0/0/2.0
> to 172.20.77.2 via ge-0/0/3.0
FUNDAMENTOS DE ENRUTAMIENTO Página 88 de 10

Mostrando la tabla de enrutamiento

 El comando show route muestra la lista de rutas activas, en hold e inactivas (hidden)

Origen y preferencia
de la Ruta

El asterisco (*) indica


que la ruta está activa

Nombre de la tabla
de enrutamiento
FUNDAMENTOS DE ENRUTAMIENTO Página 89 de 10

Mostrando la tabla de enrutamiento

 Es posible filtrar el resultado del comando por tipo de protocolo, dirección IP de destino, entre otros
atributos. El siguiente ejemplo muestra el filtrado por protocolo:

user@host> show route protocol ospf


inet.0: 6 destinations, 7 routes (6 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both

10.1.1.0/24 [OSPF/10] 04:57:41, metric 2


> to 172.18.25.2 via ge-0/0/13.0
224.0.0.5/32 *[OSPF/10] 05:00:58, metric 1
MultiRecv
FUNDAMENTOS DE ENRUTAMIENTO Página 90 de 10

Tabla de Forwarding

 La tabla de forwarding contiene un extracto de la información de la tabla de enrutamiento. En esta tabla se encuentra la
información detalla requerida por el dispositivo para enviar los paquetes recibidos de acuerdo a la información aprendida
de direcciones de destino y sus interfaces asociadas

 Para ver el contenido de la tabla de forwarding use el comando show route forwarding-table:

user@host> show route forwarding-table


Routing table: inet
Internet:
Destination Type RtRef Next hop Type Index NhRef Netif
default user 0 0:17:cb:4e:ae:81 ucst 520 3 ge-0/0/0.0
default perm 0 rjct 36 1
0.0.0.0/32 perm 0 dscd 34 1
172.19.0.0/16 user 0 200.1.4.100 ucst 535 3 ge-0/0/3.0
172.19.52.0/24 user 0 200.1.2.100 ucst 529 3 ge-0/0/1.0
172.19.52.16/28 user 0 200.1.3.100 ucst 534 3 ge-0/0/2.0
FUNDAMENTOS DE ENRUTAMIENTO Página 91 de 85

Determinando el Next-Hop

 Si el destino del paquete es el dispositivo local, Junos procesa el paquete localmente

 Si el destino del paquete es un dispositivo remoto y existe un destino valido, el dispositivo envía el
paquete por la interfaz asociada al next hop de acuerdo a la tabla de forwarding

 Si existen múltiples direcciones de destino que contienen la dirección de destino del paquete, Junos
usará el destino más específico de la tabla para enviar el paquete.

 En situaciones donde no hay destino valido, Junos responderá al dispositivo de origen una notificación
de destination unreachable
FUNDAMENTOS DE ENRUTAMIENTO Página 92 de 85

Rutas Estáticas

 Rutas añadidas a la tabla de enrutamiento a través de configuración manual


- Se configuran en [edit routing-options]

 Requieren de un Next-Hop valido


- Típicamente la IP de un dispositivo directamente conectado, existen otras opciones como el bit
bucket (discard o reject)
FUNDAMENTOS DE ENRUTAMIENTO Página 93 de 85

Configurando Rutas Estáticas

 Ejemplo de configuración de una ruta estática

Ruta estática IPv6 por


defecto

Ruta estática IPv4 por


defecto

Evita que la ruta sea publicada por cualquier


otro protocolo de enrutamiento. Recomendado
para rutas de tráfico de gestión
FUNDAMENTOS DE ENRUTAMIENTO Página 94 de 85

Monitoreando Rutas Estáticas

 Use el comando show protocol static para ver la rutas estáticas en la tabla de
enrutamiento
FUNDAMENTOS DE ENRUTAMIENTO Página 95 de 85

Resolviendo Next-Hops Indirectos

 Junos requiere, por defecto, que la dirección IP de next-hop se encuentre directamente


conectada.

 Use la opción resolve para permitir la resolución de Next-Hops indirectos.


FUNDAMENTOS DE ENRUTAMIENTO Página 96 de 85

Qualified Next-Hops

 La opción qualified-next-hop permite asignar preferencias independientes a rutas


estáticas con un mismo destino
FUNDAMENTOS DE ENRUTAMIENTO Página 97 de 85

Enrutamiento Dinámico

 Protocolos que permiten aprender información de enrutamiento de forma dinámica

 El enrutamiento dinámico tiene los siguientes beneficios:


- Menor overhead administrativo
- Mayor disponibilidad y redundancia de la red
- Mayor escalabilidad

Enrutamiento
Rutas Estáticas
Dinámico
FUNDAMENTOS DE ENRUTAMIENTO Página 98 de 85

Protocolos de Enrutamiento Dinámico

 Resumen de protocolos de enrutamiento dinámico:


 IGPs operan dentro de un mismo Sistema Autónomo
- Una única entidad de administración permite crear políticas de enrutamiento unificadas y el
uso flexible de los recursos de red

 EGPs operan entre diferentes Sistemas Autónomos


- Entidades de administración independientes entre infraestructuras independientes de red
- El EGP en uso hoy en día es BGP
FUNDAMENTOS DE ENRUTAMIENTO Página 99 de 85

Protocolo OSPF

 OSPF es un protocolo IGP orientado al estado de los enlaces


- Envía información actualizada del estado de los enlaces a sus vecinos
- Crea una base de datos completa de la red
- Calcula el mejor camino para cada destino
- Usa Áreas para crear jerarquías y proveer escalabilidad
FUNDAMENTOS DE ENRUTAMIENTO Página 100 de 85

Caso de Estudio: Objetivo y Topología

 Utilice una única área OSPF para proveer conectividad entre las subredes y direcciones
de loopback conectadas.

 Asegúrese de que no se formen adyacencias en la interfaces conectadas a la red


172.20.x.0/24
FUNDAMENTOS DE ENRUTAMIENTO Página 101 de 85

Caso de Estudio: Configuración OSPF

 Configuración del Host-A:

Unidad lógica. Si no se especifica, Junos


asume unidad 0

La opción passive prohíbe la


formación de adyacencias

Junos convierte el área 0 a su notación


decimal (0.0.0.0)
FUNDAMENTOS DE ENRUTAMIENTO Página 102 de 85

Caso de Estudio: Verificando el estado de las adyacencias OSPF

 Use el comando show ospf neighbor para mostrar las adyacencias


- Use las opciones detail o extensive para mayor información
FUNDAMENTOS DE ENRUTAMIENTO Página 103 de 85

Caso de Estudio: Verificando las rutas OSPF

 Use el comando show route protocol ospf para mostrar las rutas OSPF
FUNDAMENTOS DE ENRUTAMIENTO Página 104 de 85

Caso de Estudio: Verificando el estado de las adyacencias OSPF

 Use el comando show ospf neighbor para mostrar las adyacencias


- Use las opciones detail o extensive para mayor información
CLASS OF SERVICE Página 105 de 10

CAPITULO 4. Class of Service

Este capitulo abarca:


• Definición
• Clasificación de Tráfico
• Gestión de Colas
• Scheduling
• Caso de estudio: CoS
CLASS OF SERVICE Página 106 de 10

¿Qué es CoS?

 CoS provee mecanismos para categorizar el tráfico para cumplir con requerimientos de prestaciones
dentro de la red

NOTA: CoS no aumenta la velocidad de la red ni reduce la congestión


CLASS OF SERVICE Página 107 de 10

Cumpliendo con los requerimientos de la red

 CoS permite cumplir con los requerimientos de la red al:


 Priorizar tráfico sensible a la latencia como VoIP
 Controlar la congestión para asegurar la gestión de la red
 Reservar ancho de banda para diferentes tipos de tráfico
CLASS OF SERVICE Página 108 de 10

Forwarding Classes

 Forwarding Classes:
 Identifica el tráfico que debe recibir el mismo trato
 Usado para asignar tráfico a las colas (queues) de salida
CLASS OF SERVICE Página 109 de 10

Loss Priority

 Loss Priority
 Identifica la prioridad que el sistema debe darle a descartar un paquete
 Usado para selecciona el perfil de descarte (drop profile) utilizado en el proceso RED
CLASS OF SERVICE Página 110 de 10

Flujo del CoS


CLASS OF SERVICE Página 111 de 10

Modelos de implementación de CoS

 Existen dos modelos principales para la implementación de CoS


 Modelo In-the-box: utiliza un único clasificador con múltiples campos

 Modelo Across-the-Network: usar un clasificador en el borde y parámetros BA (Behavior


Aggregate) y clasificadores en el core
CLASS OF SERVICE Página 112 de 10

Calificadores con Múltiples Campos


CLASS OF SERVICE Página 113 de 10

BA (Behaviour Aggregates)
CLASS OF SERVICE Página 114 de 10

Policers
CLASS OF SERVICE Página 115 de 10

Gestión de Colas de Tráfico

 Las Forwarding Classes se mapean a diferentes colas


 Mapeo por defecto entre colas y forwarding classes en dispositivos Junos
- 0: best-effort
- 1: expedited-forwarding
- 2: assured-forwarding
- 3: network-control

Muestra el mapeo actual entre las forwarding


classes y las colas
CLASS OF SERVICE Página 116 de 10

Definiendo Forwarding Classes

 Se configuran en [edit class-of-service forwarding-class]


CLASS OF SERVICE Página 117 de 10

Scheduling

 Componentes:

- Priority Define el Orden en que


se transmiten los
- Transmission rate
paquetes

- Buffer Size Define el almacenamiento


y las tasa de descarte de
- RED Configuration
paquetes
CLASS OF SERVICE Página 118 de 10

Priority

 El tráfico es asignado a cada Cola de acuerdo a su prioridad asignada. Las prioridades más comunes
son :
- High
- Medium High
- Medium Low
- Low
CLASS OF SERVICE Página 119 de 10

Definiendo los Schedulers

 Se configuran en [edit class-of-service schedulers


CLASS OF SERVICE Página 120 de 10

Creando Schedulers Maps

 Los Scheduler Maps asocian los Schedulers con las Forwarding Classes y las Colas
CLASS OF SERVICE Página 121 de 10

Aplicando un Scheduler Map a una interfaz

 El Scheduler Map se aplica a la interfaz de salida en [edit class-of-service interfaces]

Aplica el scheduler map a


todas las interfaces Fast
Ethernet
CLASS OF SERVICE

Repaso del Flujo CoS


CLASS OF SERVICE Página 123 de 10

Caso de Estudio: Objetivos y Topología


 Reglas de Clasificación
 Colocar el tráfico desde y hacia los profesores (192.168.25.64/25) en la Forwarding Class
professors
 Colocar el tráfico desde y hacia los estudiantes (192.168.25.128/25) en la Forwarding Class
students. El tráfico de los estudiantes no excede los 100Mbps
 Colocar el tráfico de los estudiantes que excede los 100Mbps en la Forwarding Class best-effort

 Reglas de Scheduling
 Asignar al tráfico de control prioridad High y 5% del ancho de banda disponible
 Asignar al tráfico de los profesores prioridad Medium-High y 45% del ancho de banda disponible
 Asignar al tráfico de los estudiantes prioridad Medium-Low y 40% del ancho de banda disponible
 Asignar al tráfico best-effort prioridad Low y 10% del ancho de banda disponible. Prohibir el uso
de ancho de banda adicional
CLASS OF SERVICE Página 124 de 10

Caso de Estudio: Configuración del Clasificador de Ingreso en R1


CLASS OF SERVICE Página 125 de 10

Caso de Estudio: Configuración del Clasificador de Ingreso en R2


CLASS OF SERVICE Página 126 de 10

Caso de Estudio: Configuración de Forwarding Classes y Schedulers


CLASS OF SERVICE Página 127 de 10

Caso de Estudio: Aplicación de BA y Scheduler


CLASS OF SERVICE Página 128 de 10

Caso de Estudio: Monitoreando los resultados (1 de 2)

Muestra los paquetes en cola, transmitidos y descartados


para cada cola asociada a la interfaz especificada
CLASS OF SERVICE Página 129 de 10

Caso de Estudio: Monitoreando los resultados (2 de 2)


MISCELÁNEOS Página 130 de 10

CAPITULO 5. Misceláneos

Este capitulo abarca:


• J-Flow
• SNMP
• Autenticación con servidor Radius
MISCELÁNEOS Página 131 de 10

J-Flow

Para implementar J-Flow en el SRX 300 es necesario seguir los siguientes pasos:

1. Activar el sampling en una o más interfaces del equipo


user@host# set interfaces ge-0/0/0 unit 0 family inet sampling input
user@host# set interfaces ge-0/0/0 unit 0 family inet sampling output
2. Especificar la tasa de muestreo
user@host# set forwarding-options sampling input rate 100
3. Establecer la dirección IP y el puerto UDP del colector de los paquetes cflowd
user@host# set forwarding-options sampling family inet output flow-server
10.10.10.1 port 2056
4. Configurar la version de J-flow a utilizar
user@host# set forwarding-options sampling family inet output flow-server
10.10.10.1 version X
MISCELÁNEOS Página 132 de 10

SNMP

Para configurar SNMP en los SRX300 se debe seguir los siguientes pasos:

1. Definir la comunidad SNMP junto con sus permisos


[edit snmp]
user@switch# set community public authorization read-only
2. Permitir el protocolo SNMP en las interfaces requeridas
user@host# set security zones security-zone trust interfaces ge-0/0/0.0
host-inbound-traffic system-services snmp
3. Restringir una lista de clientes del acceso a la comunidad SNMP (opcional)
user@host# set snmp community public clients 172.26.0.0/16
user@host# set snmp community public clients 0.0.0.0/0 restrict
4. Configurar un trap group, puerto de destino e IP de destino (opcional)
[edit snmp]
user@switch# set trap-group “srx-traps” destination-port 155 targets
192.168.0.100
5.
MISCELÁNEOS Página 133 de 10

Autenticación con servidor Radius

Para definir la autenticación de los SRX 300 mediante un servidor Radius se siguen los siguientes pasos:

1. Configurar la dirección IPv4 o IPv6 del servidor RADIUS


user@host# set system radius-server server-address source-address source-
address
2. Establecer el secret password
[edit system radius-server server-address]
user@host# set secret password
3. Si es necesario, definir el puerto con el que se establecerá conexión con el servidor RADIUS
[edit system radius-server server-address]
user@host# set port port-number
4. Especificar el orden en el cual Junos OS intentará la autenticación
[edit groups global system]
user@host# set authentication-order [ radius password tacplus ]
MISCELÁNEOS Página 134 de 10

Autenticación con servidor Radius

5. Crear las plantillas de usuarios en el SRX


[edit groups global system login]
set user RO class read-only
set user OP class operator
set user SU class super-user
set user remote full-name "default remote access user template"
set user remote class read-only

6. Especificar las plantillas a utilizar en el servidor RADIUS, así como los nombres de usuarios
configurados en el SRX. Para esto es necesario incluir el Juniper-Local-User-Name attribute (Vendor
2636, type 1, string) Juniper VSA (vendor-specific attribute) en el RADIUS Access-Accept message.
REGIÓN ANDINA • CENTROAMÉRICA • CARIBE • MÉXICO • ESTADOS UNIDOS

www.witec.net

También podría gustarte