Protocolo de administracion de grupos de internet
-
Upload
juan-rojas-benites -
Category
Documents
-
view
225 -
download
0
Transcript of Protocolo de administracion de grupos de internet
TRUJILLO-PERU 2013
UNIVERSIDAD NACIONACL
DE TRUJILLO
FACULAD DE INGENIERÍA
ESCUELA DE ING.
MECATRÓNICA
PROTOCOLO DE
ADMINISTRACÍON DE GRUPOS
DE INTERNET
CRUZADO VARGAS JOSUÉ
ROJAS BENITES JUAN JOSÉ
Ing. Mecatrónica
IV CICLO
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 2
ÍNDICE
DEDICATORIA……………………………………………………………………………………………………………………………3
INTRODUCCION………………………………………………………………………………………………………………………..4
1. MARCO TEORICO…………………………………………………………………………………………………………5
1.1. CAPITULO I: DEFINICIONES BÁSICAS………………………………………………………………………….5
1.1.1. ¿Qué es IGMP?.......................................................................................................5
1.1.2. ¿Qué son los HOSTS?..............................................................................................6
1.1.3. Enrutadores Multicast………………………………………………………………………………………..6
1.2. CAPITULO II: IGMP EN DISPOSITIVOS DE SEGURIDAD………………………………………………7
1.2.1. Habilitación e inhabilitación de IGMP en interfaces…………………………………………7
1.2.2. Configuración de una lista de accesos para grupos aceptados………….……………9
1.2.3. Configuración de IGMP………………………………………………………………….……………….10
1.2.4. Verificación de una configuración de IGMP………………………………….……………….12
1.3. CAPITULO III: PROXY DE IGMP………………….….……………………………………………………….13
1.3.1. Configuración del proxy de IGMP…………………………………………….………………………14
1.3.2. Configuración de un proxy de IGMP en una interfaz………….……….……………………17
1.3.3. Directivas multicast para configuraciones de IGMP y proxy de IGMP…..………….19
1.3.4. Configuración de un proxy de remitente de IGMP…………………………….….…………23
CONCLUSIONES………………………………………………………………………………………………………………………27
BIBLIOGRAFÍA…………………………………………………………………………………………………………….............28
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 3
Queremos dedicarle este trabajo A Dios que nos ha dado la vida y fortaleza
para terminar este proyecto de investigación, A nuestros padres por estar ahí cuando más
los necesitamos y Al Ing. Arturo Díaz por el apoyo académico que nos brindó.
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 4
INTRODUCCIÓN
El intercambio de información a través de la Internet clásica se realiza de forma unicast,
es decir, de uno a uno: un servidor envía información a un cliente. De esta manera, si
queremos que la información llegue a más de un usuario tendremos que mandarla tantas
veces como usuarios deban recibirla. Si diez usuarios han de recibir un paquete,
tendremos que mandar diez paquetes iguales, uno para cada uno. Si tienen que recibirlo
mil usuarios, enviaremos mil copias. Esta forma de realizar la transmisión es, obviamente,
ineficiente, cuando no imposible, y limita la comunicación entre múltiples usuarios, más
aún cuánto mayores sean los recursos a consumir.
IGMP (Internet Group Management Protocol) es el protocolo encargado de la gestión de
grupos. Para saber qué usuarios están interesados en la información se utiliza el concepto
de grupo. Los paquetes de datos no se envían a los usuarios directamente, sino que se
envían a una dirección IP que no corresponde a ningún equipo concreto, sino que
identifica a un grupo de receptores. Si un usuario quiere recibir información de un grupo
debe apuntarse a él enviando un mensaje IGMP. El protocolo se encarga de distribuir la
solicitud a través de la red, de manera que los routers sepan que tienen que reenviar
paquetes hacia ese usuario. De la misma forma, IGMP se encarga de controlar si en una
red ya no hay usuarios interesados en un grupo concreto.
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 5
I. MARCO TEÓRICO
1.1. CAPITULO I: DEFINICIONES BÁSICAS
1.1.1. ¿Qué es IGMP?
El protocolo de red IGMP se utiliza para intercambiar información acerca del
estado de pertenencia entre enrutadores IP que admiten la multidifusión y
miembros de grupos de multidifusión. Los hosts miembros individuales informan
acerca de la pertenencia de hosts al grupo de multidifusión y los enrutadores de
multidifusión sondean periódicamente el estado de la pertenencia.
Los dispositivos de seguridad admiten las siguientes versiones de IGMP:
IGMPv1, según lo definido en la norma RFC 1112, Extensiones de host para
multicast IP, define las operaciones básicas para miembros de grupos multicast.
IGMPv2, según lo definido en la norma RFC 2236, Protocolo de administración de
grupos de Internet, versión 2, amplía la funcionalidad de IGMPv1.
IGMPv3, según lo definido en la norma RFC 3376, Protocolo de administración de
grupos de Internet, Versión 3, permite la filtración de orígenes. Los hosts que
ejecutan IGMPv3 indican a qué grupos multicast desean unirse y desde qué
orígenes esperan recibir tráfico multicast. IGMPv3 es necesario para ejecutar
multicast independiente de protocolo en modo de origen específico.
Todos los mensajes IGMP se transmiten en datagramas IP y tienen el formato
mostrado en la figura 1. Los campos son los siguientes:
Figura 1: Campos de mensajes IGMP
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 6
1.1.2. ¿Qué son los HOSTS?
Los hosts envían mensajes IGMP para unirse a grupos multicast y mantenerse
como miembros en esos grupos. Los enrutadores aprenden qué hosts son
miembros de grupos multicast al escuchar estos mensajes IGMP en sus redes
locales. La Tabla 1 enumera los mensajes de IGMP que los hosts envían y el
destino de los mensajes.
TABLA 1: Mensajes de host IGMP
Versión de
IGMP Mensaje de IGMP Destino
IGMPv1, v2
y v3
Un host envía un informe de miembro la primera vez
que se une a un grupo multicast y periódicamente,
una vez que ya es miembro del grupo. El informe de
miembros indica a qué grupo multicast desea unirse
el host.
Dirección IP del
grupo multicast
al que el host
desea unirse
IGMPv2 y
v3
Un host envía un informe de miembro la primera vez
que se une a un grupo multicast y periódicamente,
una vez que ya es miembro del grupo. El informe de
miembro contiene la dirección multicast del grupo,
el modo de filtración, que es incluir o excluir y una
lista de orígenes. Si el modo de filtración es incluir,
entonces los paquetes procedentes de las direcciones
de la lista de origen se aceptan. Si el modo de
filtración es excluir, entonces los paquetes
procedentes de orígenes distintos a los de la lista de
origen se aceptan.
224.0.0.22
IGMPv3
Un host envía un mensaje Leave group cuando desea
dejar el grupo multicast y dejar de recibir datos para
ese grupo.
“Grupo de todos los
enrutadores” (224.0.0.2)
1.1.3. Enrutadores Multicast
Los enrutadores utilizan IGMP para aprender qué grupos multicast tienen
miembros en su red local. Cada red selecciona un enrutador designado,
denominado el consultador. Generalmente, hay un consultador para cada red. El
consultador envía mensajes IGMP a todos los hosts de la red para solicitar
información de miembros de grupo. Cuando los hosts responden con sus informes
de miembros, los enrutadores toman la información de estos mensajes y
actualizan su lista de miembros de grupos basándose en cada interfaz. Los
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 7
enrutadores IGMPv3 mantienen una lista que incluye la dirección del grupo
multicast, el modo de filtración (incluir o excluir) y la lista de orígenes
Con IGMPv1, cada protocolo de enrutamiento multicast determina el
consultador de una red. Con IGMPv2 y v3, el consultador es la interfaz de
enrutador con la dirección IP más baja de la red. La Tabla 2 describe los mensajes
que un contestador envía y los destinos.
Versión de
IGMP Mensaje de IGMP Destino
IGMPv1, v2
y v3
El consultador envía periódicamente consultas
generales para solicitar la información de miembros
de grupos.
Grupo de
“todos los
hosts”
(224.0.0.1)
IGMPv2 y
v3
El consultador envía una consulta específica de
grupo cuando recibe un mensaje Leave Group de
IGMPv2 o un informe de miembros IGMPv3 que
indique un cambio en los miembros del grupo. Si el
consultador no recibe ninguna respuesta en un plazo
especificado, asume que no hay miembros para ese
grupo en su red local y deja de reenviar el tráfico
multicast a ese grupo.
El grupo multicast del que va a salir el host.
IGMPv3
El consultador envía una consulta específica de
grupo y origen para verificar si hay algún receptor
para ese grupo y origen específico.
El grupo multicast del que va a salir el host.
1.2. CAPITULO II: IGMP EN DISPOSITIVOS DE SEGURIDAD
En algunos enrutadores, IGMP se habilita automáticamente cuando habilita un
protocolo de enrutamiento multicast. En los dispositivos de seguridad de Juniper
Networks, debe habilitar explícitamente IGMP y un protocolo de enrutamiento
multicast.
1.2.1. Habilitación e inhabilitación de IGMP en interfaces
De forma predeterminada, IGMP está desactivado en todas las interfaces. Debe
habilitar IGMP en el modo de enrutador en todas las interfaces que estén
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 8
conectadas a hosts. En el modo de enrutador, el dispositivo de seguridad ejecuta
IGMPv2 de forma predeterminada. Puede cambiar el ajuste predeterminado y
ejecutar IGMPv1, IGMPv2 y v3 o solamente IGMPv3.
Habilitación de IGMP en una interfaz
En este ejemplo, habilita IGMP en modo enrutador en la interfaz ethernet1 que
está conectada con un host.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione)
CLI set interface ethernet1 protocol igmp router set interface ethernet1 protocol igmp enable save
Desactivación de IGMP en una interfaz
En este ejemplo, desactivará IGMP en la interfaz ethernet1. El dispositivo de
seguridad mantiene la configuración de IGMP, pero la desactiva.
WebUI
Network > Interfaces > Edit (para ethernet1) > IGMP: Clear Protocol IGMP Enable, luego haga clic en Apply.
CLI unset interface ethernet1 protocol igmp enable
save
Para borrar la configuración de IGMP introduzca el comando unset interface
interfaz protocol igmp router.
1.2.2. Configuración de una lista de accesos para grupos aceptados
Hay algunos problemas de seguridad que debe tener en cuenta al ejecutar
IGMP. Los usuarios maliciosos pueden falsificar consultas IGMP, informes de
miembros y dejar mensajes. En los dispositivos de seguridad, puede restringir el
tráfico multicast sólo a los hosts y grupos multicast conocidos. Además, también
puede especificar los consultadores permitidos en su red. Estas restricciones se
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 9
establecen por medio de la creación de listas de accesos y su aplicación a una
interfaz.
Una lista de acceso es una secuencia de declaraciones que especifica una
dirección IP y un estado de reenvío (permitir o denegar). En IGMP, las listas de
accesos siempre deben tener un estado de reenvío permitido y deben
especificar uno de los siguientes:
Grupos multicast a los que los hosts se pueden unir
Hosts desde los que la interfaz del enrutador IGMP puede recibir mensajes
IGMP
Consultadores desde los que la interfaz del enrutador de IGMP puede recibir
mensajes IGMP
Después de crear una lista de accesos, aplíquela a una interfaz. Una vez que
aplique una lista de accesos a una interfaz, ésta aceptará tráfico solamente de los
orígenes especificados en la lista de accesos. Por lo tanto, para denegar tráfico
procedente de un determinado grupo, host o consultador multicast, simplemente
exclúyalo de la lista de accesos.
En este ejemplo, creará una lista de acceso en el trust-vr. La lista de accesos
especifica lo siguiente:
La identificación de la lista de accesos es 1.
Permitir el tráfico a un grupo multicast 224.4.4.1/32.
El número secuencial de esta declaración es 1.
Después de crear la lista de accesos, permita que los hosts de ethernet1 se unan
al grupo multicast especificado en la lista de accesos.
WebUI
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr): Introduzca los siguientes datos y haga clic en OK:
Access List ID: 1
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 10
Figura 2: Ejemplo de configuración IGMP
Sequence No.: 1 IP/Netmask: 224.4.4.1/32 Action: Permit (seleccione)
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes
datos y haga clic en OK:
Accept Group’s Access List ID: 1
CLI
set vrouter trust-vr access-list 1 permit ip 224.4.4.1/32 1
set interface ethernet1 protocol igmp accept groups 1
1.2.3. Configuración de IGMP
Para ejecutar IGMP en un dispositivo de seguridad de Juniper Networks,
simplemente habilítelo en modo enrutador en las interfaces que están
conectadas directamente a los hosts. Para garantizar la seguridad de la red,
utilice las listas de accesos para limitar el tráfico multicast sólo a grupos, hosts y
enrutadores multicast conocidos.
En la Figura 2, los hosts de la zona Trust protegida por el dispositivo de seguridad
NS1 son receptores potenciales del flujo multicast procedente del origen en la
zona Untrust. Las interfaces ethernet1 y ethernet2 están conectadas a los hosts.
El origen multicast está transmitiendo datos al grupo multicast 224.4.4.1. Realice
los pasos siguientes para configurar IGMP en las interfaces que están
conectadas a los hosts:
1. Asigne direcciones IP a las interfaces y enlácelas a zonas.
2. Cree una lista de accesos que especifique el grupo multicast 224.4.4.1/32.
3. Habilite IGMP en modo enrutador en ethernet1 y ethernet2.
4. Restrinja las interfaces (ethernet1 y ethernet2) para que reciban mensajes
IGMPdel grupo multicast 224.4.4.1/32.
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 11
WebUI
1. Zonas e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
IP Address/Netmask: 10.1.1.1/24
Network > Interfaces > Edit (para ethernet2): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Trust
IP Address/Netmask: 10.1.2.1/24
Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y
haga clic en OK:
Zone Name: Untrust
IP Address/Netmask: 1.1.1.1/24
2. Lista de accesos
Network > Routing > Virtual Routers > Access List: > New (para el trust-vr):
Introduzca los siguientes datos y haga clic en OK:
Access List ID: 1
Sequence No.: 1
IP/Netmask: 224.4.4.1/32
Action: Permit
3. GMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes
datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept
Group’s Access List ID: 1
Network > Interfaces > Edit (para ethernet2) > IGMP: Introduzca los siguientes
datos, luego haga clic en Apply:
IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Accept
Group’s Access List ID: 1
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 12
CLI
1. Zonas e interfaces
set interface ethernet1 zone trust
set interface ethernet1 ip 10.1.1.1/24 set interface ethernet2 zone trust
set interface ethernet2 ip 10.2.1.1/24
2. Lista de accesos
set vrouter trust access-list 1 permit ip 224.4.4.1/32 1
3. IGMP
set interface ethernet1 protocol igmp router
set interface ethernet1 protocol igmp accept groups 1 set interface ethernet1
protocol igmp enable
set interface ethernet2 protocol igmp router
set interface ethernet2 protocol igmp accept groups 1 set interface ethernet2
protocol igmp enable
save
Después de configurar IGMP en ethernet1 y ethernet2, debe configurar un
protocolo de enrutamiento multicast, como PIM, para reenviar el tráfico
multicast.
1.2.4. Verificación de una configuración de IGMP
Para verificar la conectividad y asegurarse de que IGMP se esté ejecutando
correctamente, existe una serie de comandos exec y get que puede utilizar.
Para enviar consultas generales o específicas de grupos a una interfaz en
particular, utilice el comando exec igmp interface interfaz query. Por
ejemplo, para enviar una consulta general desde ethernet2, introduzca el
siguiente comando:
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 13
exec igmp interface ethernet2 query
Para enviar una consulta específica de grupo desde ethernet2 al grupo
multicast 224.4.4.1, introduzca el siguiente comando:
exec igmp interface ethernet2 query 224.4.4.1
Para enviar un informe de miembros de una interfaz en particular, utilice el
comando exec igmp interface interfaz report. Por ejemplo, para enviar un
informe de miembro desde ethernet2, introduzca el siguiente comando:
exec igmp interface ethernet2 report 224.4.4.1
Puede revisar los parámetros IGMP de una interfaz al introducir el comando
siguiente:
device-> get igmp interface Interface trust support IGMP version 2 router. It is enabled. IGMP proxy is disabled. Querier IP is 10.1.1.90, it has up 23 seconds. I am the querier. There are 0 multicast groups active.
Inbound Router access list number: not set Inbound Host access list number: not set Inbound Group access list number: not set query-interval: 125 segundos query-max-response-time 10 seconds leave-interval 1 seconds last-member-query-interval 1 seconds
Este resultado enumera la siguiente información:
IGMP versión (2)
Estado del consultador (yo soy el consultador.)
Set and unset parameters
Para mostrar información sobre grupos multicast, ejecute el siguiente comando
CLI:
device-> get igmp group total groups matched: 1 multicast group interface last reporter expire ver
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 14
*224.4.4.1 trust 0.0.0.0 ------ v2
1.3. CAPITULO III: PROXY DE IGMP
Los enrutadores esperan y envían mensajes IGMP sólo a sus hosts conectados; no
reenvían mensajes IGMP más allá de su red local. Puede permitir que las interfaces
de un dispositivo de seguridad de Juniper Networks reenvíen mensajes IGMP un
salto más allá de su red local habilitando el proxy de IGMP. El proxy de IGMP
permite a las interfaces reenviar mensajes IGMP en sentido ascendente hacia el
origen sin sobrecargar la CPU con un protocolo de enrutamiento multicast.
Cuando ejecuta un proxy IGMP en un dispositivo de seguridad, las interfaces
conectadas a hosts funcionan como enrutadores y aquellas conectadas a
enrutadores en sentido ascendente funcionan como hosts. Las interfaces de host y
enrutador generalmente están en zonas diferentes. Para permitir que los mensajes
de IGMP pasen entre zonas, debe configurar una directiva multicast. Luego, para
permitir que el tráfico de datos multicast pase entre zonas, también debe
configurar una directiva de cortafuegos.
En los dispositivos que admiten múltiples sistemas virtuales, debe configurar una
interfaz en el sistema virtual raíz (vsys) y la otra interfaz en vsys separados.
A continuación, cree una directiva multicast para permitir tráfico de control
multicast entre los dos sistemas virtuales. (Para obtener más información sobre los
sistemas virtuales, consulte el Volumen 10: Sistemas virtuales.)
Mientras las interfaces reenvían información de miembros IGMP, crean entradas en
la tabla de rutas multicast del enrutador virtual al que están asociadas, formando
un árbol de distribución multicast desde los receptores hasta el origen. Las
siguientes secciones describen cómo las interfaces de hosts y enrutadores IGMP
reenvían la información de miembros de IGMP en sentido ascendente hacia el
origen, y cómo reenvían datos multicast en sentido descendente desde el origen
hasta el receptor.
1.3.1. Configuración del proxy de IGMP
INFORMES DE MIEMBROS EN SENTIDO ASCENDENTE HACIA EL ORIGEN
Cuando un host conectado a una interfaz de enrutador en un dispositivo de
seguridad se une a un grupo multicast, envía un informe de miembros al grupo
multicast. Cuando la interfaz del enrutador recibe el informe de miembros del
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 15
host que se acaba de conectar, comprueba si tiene una entrada para el grupo
multicast.
A continuación, el dispositivo de seguridad lleva a cabo una de las acciones
siguientes:
Si la interfaz del enrutador tiene una entrada para el grupo multicast, ignora
el informe de miembros.
Si la interfaz del enrutador no tiene ninguna entrada para el grupo multicast,
comprueba si hay una directiva multicast para el grupo que especifique a qué
zona la interfaz del enrutador debe enviar el informe
o Si no hay ninguna directiva multicast para el grupo, la interfaz del
enrutador no reenvía el informe.
o Si hay alguna directiva multicast para el grupo, la interfaz del enrutador
crea una entrada para el grupo multicast y reenvía el informe de
miembros a la interfaz del host proxy en la zona especificada en la
directiva multicast
Cuando una interfaz del host proxy recibe el informe de miembros, comprueba
si tiene una entrada (*, G) para ese grupo multicast.
Si tiene una entrada (*, G) para el grupo, la interfaz del host agrega la interfaz
del enrutador a la lista de las interfaces de salida para esa entrada.
Si no contiene ninguna entrada (*, G) para ese grupo, la crea; la interfaz de
entrada es la interfaz del host proxy y la interfaz de salida es la interfaz del
enrutador. A continuación, la interfaz del host proxy reenvía el informe a su
enrutador en sentido ascendente.
DATOS MULTICAST EN SENTIDO DESCENDENTE A LOS RECEPTORES Cuando la interfaz del host en el dispositivo de seguridad recibe datos multicast
para un grupo multicast, comprueba si hay una sesión existente para ese grupo.
Si hay una sesión para el grupo, la interfaz reenvía los datos multicast
basándose en la información de la sesión.
Si no hay sesión para el grupo, la interfaz comprueba si el grupo tiene una
entrada (S, G) en la tabla de rutas multicast.
o Si hay una entrada (S, G), la interfaz reenvía los datos multicast en
consecuencia.
o Si no hay ninguna entrada (S, G), la interfaz comprueba si hay alguna
entrada (*, G) para el grupo.
o Si no hay ninguna entrada (*, G) para el grupo, la interfaz descarta el
paquete.
o Si no hay ninguna entrada (*, G) para el grupo, la interfaz crea una
entrada (S, G). Cuando la interfaz recibe paquetes multicast
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 16
Figura 3: Configuración del host proxy IGMP
subsiguientes para ese grupo, reenvía el tráfico a la interfaz del
enrutador (la interfaz de salida) que, a su vez, reenvía el tráfico a su host
conectado.
En esta sección se describen los pasos básicos necesarios para configurar IGMP
proxy en un dispositivo de seguridad de Juniper Networks:
1) Habilitar IGMP en el modo host en interfaces en sentido ascendente. De
forma predeterminada, el proxy de IGMP está habilitado en las interfaces
de hosts.
2) Habilitar IGMP en el modo enrutador en interfaces en sentido descendente.
3) Habilitar IGMP proxy en interfaces de enrutador.
4) Configurar una directiva multicast que permita que el tráfico de control
multicast pase de una zona a otra.
5) Configurar una directiva para entregar tráfico de datos entre zonas.
La siguiente figura muestra un ejemplo de una configuración de host proxy de
IGMP.
1.3.2. Configuración de un proxy de IGMP en una interfaz
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 17
Cuando ejecute IGMP proxy en un dispositivo de seguridad, la interfaz en
sentido descendente se configura en modo enrutador y la interfaz en sentido
ascendente en modo host. (Observe que una interfaz puede estar en modo host
o en modo enrutador, pero no en ambos). Además, para que una interfaz de
enrutador reenvíe el tráfico multicast, debe ser el consultador en la red local.
Para permitir que una interfaz no consultada reenvíe el tráfico multicast, debe
especificar la palabra clave always al habilitar IGMP en la interfaz.
De forma predeterminada, una interfaz IGMP sólo acepta los mensajes IGMP de
su propia subred. Ignora los mensajes IGMP procedentes de orígenes externos.
Debe habilitar el dispositivo de seguridad para que acepte mensajes IGMP
procedentes de orígenes de otras subredes cuando ejecute IGMP proxy.
En este ejemplo, la interfaz ethernet1 tiene la dirección IP 10.1.2.1/24 y está
conectada al enrutador en sentido ascendente. Configure lo siguiente en
ethernet1:
Habilite IGMP en el modo host
Permita que acepte mensajes IGMP desde todos los orígenes, sin importar la
subred
La interfaz ethernet3 tiene la dirección IP 10.1.1.1/24 y está conectada a los
hosts. Configure lo siguiente en ethernet3:
Habilite IGMP en el modo enrutador.
Permita que reenvíe tráfico multicast aunque no sea un consultador.
Permita que acepte mensajes IGMP procedentes de orígenes de otras
subredes.
WebUI
1. Zona e interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos y haga clic en OK: Zone Name: Trust IP Address/Netmask: 10.1.2.1/24 Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos, luego haga clic en Apply: Zone Name: Trust IP Address/Netmask: 10.1.1.1/24
2. IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 18
Network > Interfaces > Edit (para ethernet3) > IGMP: Introduzca los siguientes datos y haga clic en OK: IGMP Mode: Router (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione) Proxy: (seleccione) Always (seleccione)
CLI
1. Zona e interfaces set interface ethernet1 zone trust set interface ethernet1 ip 10.1.2.1/24 set interface ethernet3 zone trust set interface ethernet1 ip 10.1.1.1/24
2. IGMP set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface ethernet3 protocol igmp router set interface ethernet3 protocol igmp proxy set interface ethernet3 protocol igmp proxy always set interface ethernet3 protocol igmp enable set interface ethernet3 protocol igmp no-check-subnet save
1.3.3. Directivas multicast para configuraciones de IGMP y proxy de IGMP
Normalmente, un dispositivo de seguridad intercambia mensajes IGMP sólo con
sus hosts conectados. Con IGMP proxy, los dispositivos de seguridad podrían
necesitar enviar mensajes IGMP a un host o a un enrutador en otra zona. Para
permitir el envío de mensajes IGMP entre zonas, debe configurar una directiva
multicast que lo permita específicamente. Cuando cree una directiva multicast,
debe especificar lo siguiente:
Origen: La zona desde la que se inicia el tráfico
Destino: La zona a la que se envía el tráfico
Grupo multicast: Puede ser un grupo multicast, una lista de accesos que
especifique grupos multicast o “any”.
Además, puede especificar que la directiva sea bidireccional para aplicar la
directiva a ambos sentidos del tráfico.
CREACIÓN DE UNA DIRECTIVA DE GRUPO MULTICAST PARA IGMP
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 19
En este ejemplo, la interfaz del enrutador se encuentra en la zona Trust y la
interfaz del host en la zona Untrust. Defina una directiva multicast que permita
que los mensajes IGMP para el grupo multicast 224.2.202.99/32 puedan pasar
entre las zonas Trust y Untrust. Utilice la palabra clave bidirectional para
permitir el tráfico en ambos sentidos.
WebUI
MCast Policies (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: MGroup Address: IP/Netmask (seleccione) 224.2.202.99/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI set multicast-group-policy from trust mgroup 224.2.202.99/32 to untrust igmp-message bi-directional sabe
CREACIÓN DE UNA CONFIGURACIÓN DE PROXY DE IGMP Como se indica en la Figura 26, se configura IGMP proxy en los dispositivos de
seguridad NS1 y NS2. Están interconectados a través de un túnel VPN. Realice
los pasos siguientes en los dispositivos de seguridad de ambas ubicaciones:
1) Asignar direcciones IP a las interfaces físicas asociadas a las zonas de
seguridad.
2) Crear los objetos de direcciones
3) Habilitar IGMP en las interfaces del host y del enrutador, y habilitar IGMP
proxy en la interfaz del enrutador. (De forma predeterminada, IGMP proxy
está habilitado en las interfaces de host).
a. Especificar la palabra clave always (siempre) en ethernet1 de NS1 para
permitir que reenvíe el tráfico multicast aunque no sea consultador.
b. De forma predeterminada, una interfaz IGMP sólo acepta paquetes
IGMP de su propia subred. En el ejemplo, las interfaces están en
subredes diferentes. Cuando habilite IGMP, permita que las interfaces
acepten paquetes IGMP (consultas, informes de miembros y mensajes
leave) procedentes de cualquier subred.
4) Configurar las rutas.
5) Configurar el túnel VPN
6) Configurar una directiva para transmitir tráfico de datos entre zonas.
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 20
7) Configurar una directiva multicast para entregar mensajes IGMP entre
zonas. En este ejemplo, restringirá el tráfico multicast a un grupo multicast
(224.4.4.1/32).
WebUI (NS1)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2. Direcciones Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust
3. IGMP Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
4. Rutas Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 21
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
6. Directiva Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit
7. Directiva multicast MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI (NS1) 1. Interfaces
Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones set address untrust branch1 10.3.1.0/24
3. IGMP set interface ethernet1 protocol igmp host
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 22
set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set route 10.3.1.0/24 interface tunnel.1
5. Túnel VPN set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any
6. Directiva set policy name To_Branch from untrust to trust branch1 any any permit
7. Directiva multicast set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional sabe
1.3.4. Configuración de un proxy de remitente de IGMP
En IGMP proxy, el tráfico multicast generalmente viaja en sentido descendente
desde la interfaz del host a la interfaz del enrutador. En determinadas
situaciones, el origen puede estar en la misma red que la interfaz del enrutador.
Cuando un origen se conecta a una interfaz que se encuentra en la misma red a
la que la interfaz del proxy del enrutador IGMP envía tráfico multicast, el
dispositivo de seguridad comprueba si hay lo siguiente:
Una directiva del grupo multicast que permite el tráfico desde la zona de
origen a la zona de la interfaz del host IGMP proxy
Una lista de accesos de los orígenes aceptables
Si no hay ninguna directiva multicast entre la zona de origen y la zona de la
interfaz IGMP proxy o si el origen no se encuentra en la lista de orígenes
aceptables, el dispositivo de seguridad descarta el tráfico. Si existe una directiva
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 23
Figura 4: Proxy de remitente de IGMP
multicast entre la zona de origen y la zona de la interfaz IGMP proxy, y el origen
aparece en la lista de orígenes aceptables, el dispositivo crea una entrada (S, G)
para esa interfaz en la tabla de rutas multicast; la interfaz entrante es la interfaz
a la que el origen está conectado y la interfaz saliente es la interfaz del host
IGMP proxy. Luego, el dispositivo de seguridad envía los datos en sentido
ascendente a la interfaz del host IGMP proxy, que envía los datos a todas sus
interfaces de enrutador proxy conectadas, salvo a la interfaz conectada con el
origen.
La siguiente figura muestra un ejemplo del proxy de remitente de IGMP:
En la figura anterior el origen está conectado a la interfaz ethernet2, enlazada a
la zona DMZ en NS2. Está enviando tráfico multicast al grupo multicast
224.4.4.1/32. Hay receptores conectados a la interfaz ethernet1 enlazada a la
zona Trust en NS2. Tanto ethernet1 como ethernet2 son interfaces de enrutador
IGMP proxy. La interfaz ethernet3 asociada a la zona Untrust de NS2 es una
interfaz de host de IGMP proxy. También hay receptores conectados a la interfaz
ethernet1 enlazada a la zona Trust en NS1. Realice los pasos siguientes en NS2:
1) Asignar direcciones IP a las interfaces físicas enlazadas a las zonas de
seguridad.
2) Crear los objetos de direcciones.
3) En ethernet1 y ethernet2:
a. Habilitar IGMP en el modo enrutador y habilitar IGMP proxy.
b. Especifique la palabra clave always (siempre) para permitir que las
interfaces reenvíen tráfico multicast incluso aunque no sean
consultadores.
4) Habilitar IGMP en modo host en ethernet3.
5) Configurar la ruta predeterminada.
6) Configurar las directivas de cortafuegos entre las zonas.
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 24
7) Configurar las directivas multicast entre las zonas.
WebUI (NS2)
1. Interfaces
Network > Interfaces > Edit (para ethernet1): Introduzca los siguientes datos, luego haga clic en Apply Zone Name: Trust Static IP: (seleccione esta opción si es posible) IP Address/Netmask: 10.2.2.1/24 Seleccione los siguientes datos y haga clic en OK: Interface Mode: NAT Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK: Zone Name: Untrust IP Address/Netmask: 2.2.2.2/24 Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK: Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: ethernet3 (trust-vr)
2. Direcciones
Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK: Address Name: branch IP Address/Domain Name: IP/Netmask: (seleccione), 10.3.1.0/24 Zone: Untrust
3. IGMP
Network > Interfaces > Edit (para ethernet1) > IGMP: Introduzca los siguientes datos, luego haga clic en Apply: IGMP Mode: Host (seleccione) Protocol IGMP: Enable (seleccione) Packet From Different Subnet: Permit (seleccione)
4. Rutas
Network > Routing > Routing Entries > New: Introduzca los siguientes datos y haga clic en OK: Network Address/Netmask: 10.3.1.0/24 Gateway (seleccione): Interface: tunnel.1 (seleccione)
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 25
5. VPN
VPN > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK. Gateway Name: To_Branch Security Level: Compatible Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 3.1.1.1 Preshared Key: fg2g4h5j Outgoing Interface: ethernet3
6. Directiva Policies > (From: Untrust, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK: Source Address: Address Book Entry: (seleccione), branch Destination Address: Address Book Entry: (seleccione), any (seleccione) Service: any Action: Permit
7. Directiva multicast
MCast Policies > (From: Trust, To: Untrust) > New: Introduzca los siguientes datos y haga clic en OK: Mgroup Address: IP/Netmask (seleccione): 224.4.4.1/32 Bidirectional: (seleccione) IGMP Message: (seleccione)
CLI (NS2) 1. Interfaces
Set interface ethernet1 zone trust set interface ethernet1 ip 10.2.2.1/24 set interface ethernet3 zone untrust set interface ethernet3 ip 2.2.2.2/24 set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface ethernet3
2. Direcciones
set address untrust branch1 10.3.1.0/24
3. IGMP
set interface ethernet1 protocol igmp host set interface ethernet1 protocol igmp enable set interface ethernet1 protocol igmp no-check-subnet
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 26
set interface tunnel.1 protocol igmp router set interface tunnel.1 protocol igmp proxy set interface tunnel.1 protocol igmp proxy always set interface tunnel.1 protocol igmp enable set interface tunnel.1 protocol igmp no-check-subnet
4. Rutas
set route 10.3.1.0/24 interface tunnel.1
5. Túnel VPN
set ike gateway To_Branch address 3.1.1.1 main outgoing-interface ethernet3 preshare fg2g4h5j proposal pre-g2-3des-sha set vpn Corp_Branch gateway To_Branch sec-level compatible set vpn Corp_Branch bind interface tunnel.1 set vpn Corp_Branch proxy-id local-ip 10.2.2.0/24 remote-ip 10.3.1.0/24 any
6. Directiva set policy name To_Branch from untrust to trust branch1 any any permit
7. Directiva multicast set multicast-group-policy from trust mgroup 224.4.4.1/32 to untrust igmp-message bi-directional save
CONCLUSIONES
El Protocolo de Mensajes de Control de Internet:
Es el sub protocolo de control y notificación deerrores del Protocolo de
Internet (IP).
Se utiliza para enviar mensajes de error y no tomaacciones sobre éste.
Difiere del propósito de TCP y UDP ya quegeneralmente no se utiliza
directamente por lasaplicaciones de usuario en la red:
La única excepción es la herramienta ping ytraceroute.
UNIVERSIDAD NACIONAL DE TRUJILLO ING. MECATRÓNICA
REDES DE COMPUTADORAS 27
BIBLIOGRAFÍA
MANUAL DE REFERENCIA SCREENOS, VOL 7 “ENRUTAMIENTO”, CAP 8, Protocolo de
administración de grupos de internet. Edit. ”Sunnyvale”
http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/TCP_IP_Aplicacione
s.pdf
http://www.elcontador.com.ar/modules.php?name=News&file=article&sid=166
http://es.wikipedia.org/wiki/Internet_Group_Management_Protocol
http://csie.unavarra.es/php_documentacion/tecnologia/IGMP/index.php