Вы находитесь на странице: 1из 190

Conceptos y ejemplos Manual de referencia de ScreenOS

Volumen 12: WAN, DSL, acceso telefnico e inalmbrico

Versin 6.0.0, Rev. 02

Juniper Networks, Inc.


1194 North Mathilda Avenue Sunnyvale, CA 94089 USA 408-745-2000

www.juniper.net
Nmero de pieza: 530-017778-01-SP, Revisin 02

Copyright Notice
Copyright 2007 Juniper Networks, Inc. All rights reserved. Juniper Networks and the Juniper Networks logo are registered trademarks of Juniper Networks, Inc. in the United States and other countries. All other trademarks, service marks, registered trademarks, or registered service marks in this document are the property of Juniper Networks or their respective owners. All specifications are subject to change without notice. Juniper Networks assumes no responsibility for any inaccuracies in this document or for any obligation to update information in this document. Juniper Networks reserves the right to change, modify, transfer, or otherwise revise this publication without notice.

FCC Statement
The following information is for FCC compliance of Class A devices: This equipment has been tested and found to comply with the limits for a Class A digital device, pursuant to part 15 of the FCC rules. These limits are designed to provide reasonable protection against harmful interference when the equipment is operated in a commercial environment. The equipment generates, uses, and can radiate radio-frequency energy and, if not installed and used in accordance with the instruction manual, may cause harmful interference to radio communications. Operation of this equipment in a residential area is likely to cause harmful interference, in which case users will be required to correct the interference at their own expense. The following information is for FCC compliance of Class B devices: The equipment described in this manual generates and may radiate radio-frequency energy. If it is not installed in accordance with Juniper Networks installation instructions, it may cause interference with radio and television reception. This equipment has been tested and found to comply with the limits for a Class B digital device in accordance with the specifications in part 15 of the FCC rules. These specifications are designed to provide reasonable protection against such interference in a residential installation. However, there is no guarantee that interference will not occur in a particular installation. If this equipment does cause harmful interference to radio or television reception, which can be determined by turning the equipment off and on, the user is encouraged to try to correct the interference by one or more of the following measures:

Reorient or relocate the receiving antenna. Increase the separation between the equipment and receiver. Consult the dealer or an experienced radio/TV technician for help. Connect the equipment to an outlet on a circuit different from that to which the receiver is connected.

Caution: Changes or modifications to this product could void the users warranty and authority to operate this device.

Disclaimer
THE SOFTWARE LICENSE AND LIMITED WARRANTY FOR THE ACCOMPANYING PRODUCT ARE SET FORTH IN THE INFORMATION PACKET THAT SHIPPED WITH THE PRODUCT AND ARE INCORPORATED HEREIN BY THIS REFERENCE. IF YOU ARE UNABLE TO LOCATE THE SOFTWARE LICENSE OR LIMITED WARRANTY, CONTACT YOUR JUNIPER NETWORKS REPRESENTATIVE FOR A COPY.

ii

Contenido
Acerca de este volumen ix Convenciones del documento ......................................................................... ix Convenciones de la interfaz de usuario web .............................................. x Convenciones de interfaz de lnea de comandos ....................................... x Convenciones de nomenclatura y conjuntos de caracteres ....................... xi Convenciones para las ilustraciones ........................................................ xii Asistencia y documentacin tcnica.............................................................. xiii Captulo 1 Redes de rea extensa 1

Introduccin de WAN....................................................................................... 1 Serie .......................................................................................................... 2 T1.............................................................................................................. 3 E1.............................................................................................................. 3 T3.............................................................................................................. 4 E3.............................................................................................................. 5 RDSI .......................................................................................................... 5 Opciones de la interfaz WAN ........................................................................... 7 Tiempo de retencin ................................................................................. 9 Suma de comprobacin de la trama ........................................................ 10 Indicador de ciclo de inactividad ............................................................. 10 Indicador de inicio/final ........................................................................... 10 Codificacin de la lnea............................................................................ 11 Codificacin de inversin de marcas alternas ................................... 11 Codificacin de la lnea B8ZS y HDB3 ............................................... 12 Codificacin de bytes ........................................................................ 12 Tendido de la lnea............................................................................ 12 Modo de trama ........................................................................................ 13 Supertrama para T1 .......................................................................... 13 Supertrama extendida para T1.......................................................... 13 Trama de paridad de bits C para T3 .................................................. 14 Sincronizacin de reloj ............................................................................ 14 Modo de sincronizacin de reloj........................................................ 14 Fuente de sincronizacin de reloj...................................................... 15 Velocidad del reloj interno ................................................................ 16 Inversin del reloj de transmisin ..................................................... 17 Manejo de la seal................................................................................... 17 Seal de bucle invertido .......................................................................... 18 Bucle invertido remoto y local........................................................... 18 Modo de bucle invertido.................................................................... 19 Modo de compatibilidad de CSU ...................................................... 21 Respuesta de bucle invertido remoto ................................................ 22 Respuesta FEAC ................................................................................ 23

Contenido

iii

Manual de referencia de ScreenOS: Conceptos y ejemplos

Franjas de tiempo.................................................................................... 23 T1 fraccionado .................................................................................. 23 E1 fraccionado .................................................................................. 24 Prueba de tasa de errores por bit............................................................. 24 Opciones de RDSI.................................................................................... 25 Tipo de conmutador.......................................................................... 26 SPID.................................................................................................. 26 Negociacin TEI ................................................................................ 26 Nmero de llamada........................................................................... 27 Valor T310 ........................................................................................ 27 Envo completo ................................................................................. 27 Modo BRI................................................................................................. 28 Modo de lnea arrendada .................................................................. 28 Activacin de marcador .................................................................... 28 Opciones de marcador ............................................................................ 29 Desactivacin de una interfaz WAN......................................................... 30 Encapsulado de la interfaz WAN .................................................................... 30 Protocolo punto a punto .......................................................................... 31 Retransmisin de tramas......................................................................... 31 Control de la conexin de datos de alto nivel de Cisco (Cisco-HDLC)....... 32 Opciones bsicas de encapsulado............................................................ 33 Interfaces sin numerar ...................................................................... 33 Configuracin de la unidad de transmisin mxima del protocolo .... 34 Configuracin de la direccin IP esttica ........................................... 34 Mensajes de mantenimientos de conexin ....................................... 34 Opciones de encapsulado PPP.................................................................35 Perfil de acceso PPP.......................................................................... 36 Mtodo de autenticacin PPP............................................................ 37 Contrasea........................................................................................ 37 Protocolos de autenticacin PPP.............................................................. 37 Protocolo de autenticacin de establecimiento de conexin por desafo ..............................................................................................38 Protocolo de autenticacin de contrasea ......................................... 38 Usuario de base de datos local .......................................................... 39 Opciones de encapsulado de retransmisin de tramas ............................ 39 Mensajes de mantenimiento de conexin ......................................... 39 Tipo de LMI de retransmisin de tramas........................................... 40 Creacin y configuracin de PVC ...................................................... 41 Protocolo de resolucin de direccin inversa .................................... 42 Encapsulado de conexin mltiple.................................................................43 Vista general............................................................................................ 43 Configuracin bsica del grupo de conexin mltiple.............................. 44 Identificador de grupo....................................................................... 44 Tiempo de espera para descartar ...................................................... 45 Umbral de fragmentacin .................................................................45 Conexiones mnimas ........................................................................ 46 Pasos bsicos de la configuracin ..................................................... 47 Unidad reconstruida recibida mxima .............................................. 47 Formato del encabezado de secuencia.............................................. 47 Opciones de configuracin de retransmisin de tramas de conexin mltiple ................................................................................................... 48 Pasos bsicos de la configuracin ..................................................... 48 Asignacin de conexin para MLFR .................................................. 49 Reintentos de acuse de recibo........................................................... 50

iv

Contenido

Contenido

Temporizador de acuse de recibo ..................................................... 50 Temporizador de saludo.................................................................... 50 Ejemplos de configuracin de la interfaz WAN............................................... 50 Configuracin de una interfaz serie ......................................................... 51 Configuracin de una interfaz T1............................................................. 52 Configuracin de una interfaz E1............................................................. 53 Configuracin de una interfaz T3............................................................. 53 Configuracin de una interfaz E3............................................................. 54 Configuracin de un dispositivo para conectividad de RDSI .................... 54 Paso 1: Seleccin del tipo de conmutador RDSI....................................... 55 Paso 2: Configuracin de un perfil PPP....................................................55 Paso 3: Configuracin de la interfaz RDSI BRI ......................................... 55 Acceso telefnico a un solo destino................................................... 56 Acceso telefnico utilizando la interfaz de marcador......................... 56 Uso del modo de lnea arrendada...................................................... 60 Paso 4: Enrutamiento de trfico al destino .............................................. 61 Ejemplos de configuracin de encapsulado....................................................62 Configuracin del encapsulado PPP......................................................... 63 Configuracin del encapsulado MLPPP ....................................................64 Configuracin del encapsulado de retransmisin de tramas .................... 65 Configuracin del encapsulado MLFR ...................................................... 66 Configuracin del encapsulado HDLC de Cisco ........................................ 67 Captulo 2 Lnea de abonado digital 69

Vista general de la lnea de abonado digital ................................................... 69 Modo de transferencia asncrona............................................................. 70 Calidad de servicio ATM.................................................................... 71 Protocolo punto a punto a travs de ATM ......................................... 72 Protocolo punto a punto de conexin mltiple.................................. 73 Multitono discreto para las interfaces DSL ............................................... 74 Modo de anexo........................................................................................ 74 Circuitos virtuales .................................................................................... 75 Mtodo VPI/VCI y multiplexado......................................................... 76 PPPoE o PPPoA................................................................................. 76 Direccin IP esttica y mscara de red ....................................................77 Interfaz ADSL................................................................................................. 78 Interfaz G.SHDSL ........................................................................................... 79 Modo de bucle invertido .......................................................................... 80 Funcionamiento, administracin y mantenimiento ................................. 80 Relacin de seal y ruido......................................................................... 81 Ejemplos de configuracin de ADSL............................................................... 81 Ejemplo 1: (residencial/comercial pequeo) PPPoA en interfaz de ADSL ....................................................................................................... 82 Ejemplo 2: (residencial/comercial pequeo) Puenteo 1483 en interfaz de ADSL ....................................................................................................... 85 Ejemplo 3: (comercial pequeo) Enrutamiento 1483 en interfaz ADSL.... 87 Ejemplo 4: (residencial/comercial pequeo) Respaldo de acceso telefnico................................................................................................. 89 Ejemplo 5: (residencial/comercial pequeo) Respaldo de Ethernet .......... 92 Ejemplo 6: (residencial/comercial pequeo) Respaldo de ADSL ............... 95 Ejemplo 7: (comercial pequeo) MLPPP ADSL......................................... 98 Ejemplo 8: (negocio pequeo) Permite acceso a los servidores locales ..101 Ejemplo 9: (sucursal) Tnel VPN a travs de ADSL ................................103 Ejemplo 10: (Sucursal) Tnel VPN secundario........................................107
Contenido

Manual de referencia de ScreenOS: Conceptos y ejemplos

Captulo 3

Conmutacin por error de ISP y recuperacin por acceso telefnico

115

Ajuste de prioridad de ISP para conmutacin por error................................115 Definicin de condiciones para conmutacin por error de ISP .....................116 Configuracin de una solucin de recuperacin por acceso telefnico .........117 Captulo 4 Red de rea local inalmbrica 121

Vista general ................................................................................................122 Diferencias de denominacin de interfaz de producto inalmbrico .......123 Configuracin bsica de la funcin de red inalmbrica ................................123 Creacin de un identificador de conjunto de servicios ...........................124 Supresin de difusin de SSID.........................................................124 Aislamiento de un cliente................................................................125 Configuracin del modo de funcionamiento para un transceptor de 2,4 GHz .................................................................................................125 Configuracin del modo de funcionamiento para un transceptor de 5 GHz ....................................................................................................126 Configuracin de la velocidad mnima de transmisin de datos ............126 Configuracin de la potencia de la transmisin .....................................127 Reactivacin de una configuracin WLAN .............................................128 Configuracin de la autenticacin y la encriptacin para SSID .....................128 Configuracin de la privacidad equivalente a cable ...............................129 Varias claves WEP...........................................................................129 Configuracin de la autenticacin abierta .......................................131 Configuracin de la autenticacin de la clave compartida de WEP................................................................................................133 Configuracin de acceso protegido de Wi-Fi ..........................................134 Configuracin de autenticacin de 802.1X para WPA y WPA2........135 Configuracin de la autenticacin con clave previamente compartida para WPA o WPA2 .......................................................136 Especificacin del uso de la antena ..............................................................137 Configuracin del cdigo de pas, canal y frecuencia ...................................138 Uso de canales extendidos ...........................................................................138 Realizacin de un sondeo del sitio ...............................................................139 Localizacin de los canales disponibles ........................................................139 Configuracin de entradas de lista de control de acceso ..............................140 Configuracin de Super G.............................................................................141 Configuracin de Atheros XR (rango extendido) ..........................................141 Configuracin de la calidad de servicio multimedia de Wi-Fi........................142 Habilitacin de WMM ............................................................................142 Configuracin de la calidad del servicio de WMM ..................................143 Categoras de acceso ......................................................................143 Ajustes predeterminados de WMM..................................................144 Ejemplo...........................................................................................146 Configuracin de los parmetros inalmbricos avanzados ...........................147 Configuracin del intervalo de envejecimiento ......................................147 Configuracin del intervalo de baliza .....................................................148 Configuracin del perodo de mensaje de indicacin de trfico de envo .....................................................................................................149 Configuracin del umbral de rfagas .....................................................149 Configuracin del umbral de fragmentos...............................................149 Configuracin del umbral de la solicitud de envo..................................150 Configuracin del modo de va libre para enviar ...................................150

vi

Contenido

Contenido

Configuracin de la tasa de va libre para enviar ...................................151 Configuracin del tipo de va libre para enviar ......................................151 Configuracin del tiempo de franja........................................................152 Configuracin de la longitud del prembulo ..........................................152 Trabajo con interfaces inalmbricas.............................................................153 Asociacin de un SSID a una interfaz inalmbrica .................................153 Asociacin de una interfaz inalmbrica a una radio...............................153 Creacin de grupos en puente inalmbricos ..........................................154 Desactivacin de una interfaz inalmbrica ............................................155 Visualizacin de la Informacin de configuracin inalmbrica .....................155 Ejemplos de configuracin ...........................................................................156 Ejemplo 1: Autenticacin abierta y encriptacin WEP ...........................156 Ejemplo 2: Autenticacin de WPA-PSK con Passphrase y encriptacin automtica ........................................................................157 Ejemplo 3: WLAN en modo transparente ..............................................157 Ejemplo 4: Perfiles mltiples y diferenciados.........................................161 Apndice A Informacin de conexin inalmbrica A-I

NDICE .......................................................................................................................IX-I

Contenido

vii

Manual de referencia de ScreenOS: Conceptos y ejemplos

viii

Contenido

Acerca de este volumen


El Volumen 12: WAN, DSL, acceso telefnico e inalmbrico describe la red de rea extensa (WAN), lnea de abonado digital (DSL), acceso telefnico e interfaces de red de rea local inalmbrica (WLAN). Este volumen contiene los siguientes captulos:

El Captulo 1, Redes de rea extensa, describe cmo configurar una red de rea extensa (WAN). El Captulo 2, Lnea de abonado digital, describe las interfaces de lnea asimtrica de abonado digital (ADSL) y lnea de abonado digital G.symmetrical (G.SHDSL). El Captulo 3, Conmutacin por error de ISP y recuperacin por acceso telefnico, describe cmo establecer prioridades y definir condiciones para la conmutacin por errores del ISP y cmo configurar una solucin de recuperacin de acceso telefnico. El Captulo 4, Red de rea local inalmbrica, describe las interfaces inalmbricas en los dispositivos inalmbricos de Juniper Networks y proporciona configuraciones de ejemplo. El Apndice A, Informacin de conexin inalmbrica, enumera los canales, frecuencias y dominios reguladores disponibles y tambin los canales que estn disponibles en los dispositivos inalmbricos para cada pas.

Convenciones del documento


Este documento utiliza las convenciones descritas en las secciones siguientes:

Convenciones de la interfaz de usuario web en la pgina x Convenciones de interfaz de lnea de comandos en la pgina x Convenciones de nomenclatura y conjuntos de caracteres en la pgina xi Convenciones para las ilustraciones en la pgina xii

Convenciones del documento

ix

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones de la interfaz de usuario web


En la interfaz de usuario web (WebUI), el conjunto de instrucciones de cada tarea se divide en ruta de navegacin y establecimientos de configuracin. Para abrir una pgina de WebUI e introducir parmetros de configuracin, navegue hacia la pgina en cuestin haciendo clic en un elemento del men en el rbol de navegacin en el lado izquierdo de la pantalla, luego en los elementos subsiguientes. A medida que avanza, su ruta de navegacin aparece en la parte superior de la pantalla, cada pgina separada por signos de mayor y menor. Lo siguiente muestra los parmetros y ruta de WebUI para la definicin de una direccin: Policy > Policy Elements > Addresses > List > New: Introduzca los siguientes datos y haga clic en OK:
Address Name: addr_1 IP Address/Domain Name: IP/Netmask: (seleccione), 10.2.2.5/32 Zone: Untrust

Para abrir la ayuda en lnea para los ajustes de configuracin, haga clic en el signo de interrogacin (?) en la parte superior izquierda de la pantalla. El rbol de navegacin tambin proporciona una pgina de configuracin de Ayuda > Gua de configuracin para ayudarle a configurar las directivas de seguridad y la Seguridad de protocolo de Internet (IPSec). Seleccione una opcin del men desplegable y siga las instrucciones en la pgina. Haga clic en el carcter ? en la parte superior izquierda para la Ayuda en lnea en la Gua de configuracin.

Convenciones de interfaz de lnea de comandos


Las siguientes convenciones se utilizan para presentar la sintaxis de los comandos de interfaz de lnea de comandos (CLI) en ejemplos y en texto. En ejemplos:

Los elementos entre corchetes [ ] son opcionales. Los elementos entre llaves { } son obligatorios. Si existen dos o ms opciones alternativas, aparecern separadas entre s por barras verticales ( | ). Por ejemplo:
set interface { ethernet1 | ethernet2 | ethernet3 } manage

Las variables aparecen en cursiva:


set admin user nombre1 contrasea xyz

En el texto, los comandos estn en negrita y las variables en cursiva.

Convenciones del documento

Acerca de este volumen

NOTA:

Para introducir palabras clave, basta con introducir los primeros caracteres para identificar la palabra de forma inequvoca. Al escribir set adm u whee j12fmt54 se ingresar el comando set admin user wheezer j12fmt54. Sin embargo, todos los comandos documentados aqu se encuentran presentes en su totalidad.

Convenciones de nomenclatura y conjuntos de caracteres


ScreenOS emplea las siguientes convenciones relativas a los nombres de objetos (como direcciones, usuarios administradores, servidores de autenticacin, puertas de enlace IKE, sistemas virtuales, tneles de VPN y zonas) definidos en las configuraciones de ScreenOS:

Si una cadena de nombre tiene uno o ms espacios, la cadena completa deber estar entre comillas dobles; por ejemplo:
set address trust local LAN 10.1.1.0/24

Cualquier espacio al comienzo o al final de una cadena entrecomillada se elimina; por ejemplo, local LAN se transformar en local LAN. Los espacios consecutivos mltiples se tratan como uno solo. En las cadenas de nombres se distingue entre maysculas y minsculas; por el contrario, en muchas palabras clave de CLI pueden utilizarse indistintamente. Por ejemplo, local LAN es distinto de local lan.

ScreenOS admite los siguientes conjuntos de caracteres:


Conjuntos de caracteres de un byte (SBCS) y conjuntos de caracteres de mltiples bytes (MBCS). Algunos ejemplos de SBCS son los conjuntos de caracteres ASCII, europeo y hebreo. Entre los conjuntos MBCS, tambin conocidos como conjuntos de caracteres de doble byte (DBCS), se encuentran el chino, el coreano y el japons. Caracteres ASCII desde el 32 (0x20 en hexadecimal) al 255 (0xff); a excepcin de las comillas dobles ( ), que tienen un significado especial como delimitadores de cadenas de nombres que contengan espacios.

NOTA:

Una conexin de consola slo admite conjuntos SBCS. La WebUI admite tanto SBCS como MBCS, segn el conjunto de caracteres que admita el explorador.

Convenciones del documento

xi

Manual de referencia de ScreenOS: Conceptos y ejemplos

Convenciones para las ilustraciones


La siguiente figura muestra el conjunto bsico de imgenes utilizado en las ilustraciones de este volumen:
Figura 1: Imgenes de las ilustraciones
Sistema autnomo o bien dominio de enrutamiento virtual Red de rea local (LAN) con una nica subred o bien zona de seguridad

Internet

Rango dinmico de IP (DIP)

Interfaces de zonas de seguridad: Blanco = Interfaz de zona protegida (ejemplo = zona Trust) Negro = Interfaz de zona externa (ejemplo = zona Untrust)

Motor de directivas

Dispositivo de red genrico

Interfaz de tnel Servidor Tnel VPN

Enrutador Dispositivos de seguridad Juniper Networks

Conmutador

Concentrador

xii

Convenciones del documento

Acerca de este volumen

Asistencia y documentacin tcnica


Para obtener documentacin tcnica sobre cualquier producto de Juniper Networks, visite www.juniper.net/techpubs/. Para obtener soporte tcnico, abra un expediente de soporte utilizando el vnculo Case Manager en la pgina web http://www.juniper.net/customers/support/ o llame al telfono 1-888-314-JTAC (si llama desde los EE.UU.) o al +1-408-745-9500 (si llama desde fuera de los EE.UU.). Si encuentra algn error u omisin en este documento, pngase en contacto con Juniper Networks al techpubs-comments@juniper.net.

Asistencia y documentacin tcnica

xiii

Manual de referencia de ScreenOS: Conceptos y ejemplos

xiv

Asistencia y documentacin tcnica

Captulo 1

Redes de rea extensa


Algunos dispositivos de seguridad le permiten utilizar las conexiones de datos de red de rea extensa (WAN) para transmitir y recibir trfico a travs de las redes dispersas geogrficamente. Estas redes pueden ser de propiedad privada, pero suelen ser ms bien redes pblicas o compartidas. Ciertas propiedades se deben configurar antes de que las conexiones WAN puedan funcionar correctamente, como las opciones de reloj y manejo de seal (para la lnea fsica) y el mtodo de encapsulado (para transferir datos a travs de WAN). Este captulo consta de las siguientes secciones:

Introduccin de WAN en esta pgina Opciones de la interfaz WAN en la pgina 7 Encapsulado de la interfaz WAN en la pgina 30 Encapsulado de conexin mltiple en la pgina 43 Ejemplos de configuracin de la interfaz WAN en la pgina 50 Ejemplos de configuracin de encapsulado en la pgina 62

Introduccin de WAN
Esta seccin define las siguientes interfaces WAN:

Serie en la pgina 2 T1 en la pgina 3 E1 en la pgina 3 T3 en la pgina 4 E3 en la pgina 5 RDSI en la pgina 5

Introduccin de WAN

Manual de referencia de ScreenOS: Conceptos y ejemplos

Serie
Las conexiones serie ofrecen conexiones bidireccionales que requieren muy pocas seales de control. En una configuracin serie bsica, el equipo de terminacin de circuitos (DCE) se encarga de establecer, mantener y terminar las conexiones. Un mdem es un dispositivo DCE tpico. Un cable serie conecta el DCE a una red de telefona donde finalmente se establece una conexin con el equipo de terminal de datos (DTE). El DTE es, por lo general, en lugar donde termina una conexin. Algunos dispositivos de seguridad admiten los siguientes tipos de interfaces serie:

TIA/EIA 530: La norma 530 para interfaz de 25 posiciones de alta velocidad de la Asociacin de industrias de comunicaciones/Alianza de industrias de electrnicos (Telecommunications Industry Association/Electronics Industries Alliance (TIA/EIA)), para el Equipo de terminal de datos y el Equipo de terminacin del circuito de datos, describe la interconexin de DTE y DCE utilizando el intercambio de datos serie binarios con la informacin intercambiada en circuitos de control separados. V.35: El Sector de normalizacin de telecomunicaciones, Recomendacin V.35 de la Unin Internacional de Telecomunicaciones (International Telecommunications Union) (ITU-T), Transmisin de datos a 48 kbit/s mediante circuitos de banda de grupos de 60-108 kHz, describe un protocolo de capa fsica sncrona utilizada para comunicaciones entre un dispositivo de acceso a red y una red de paquetes. V.35 se utiliza con ms frecuencia en los Estados Unidos y en Europa. X.21: La Recomendacin X.21 de ITU-T, Interfaz entre el equipo de terminal de datos y el equipo de terminacin de circuitos de datos para operacin sncrona en redes de datos pblicas, describe las comunicaciones serie a travs de lneas digitales sncronas. El protocolo X.21 se utiliza principalmente en Europa y en Japn. RS-232: TIA/EIA-232-F (la revisin actual), Interfaz entre el equipo de terminal de datos y el equipo de terminacin de circuitos de datos mediante intercambio de datos binarios en serie, describe la interfaz fsica y el protocolo para comunicacin con mdems y otros dispositivos serie. RS-449: La norma EIA EIA-449 Interfaz de 9 y 37 posiciones de uso general para equipo de terminacin de circuitos de datos y equipo de terminal de datos mediante intercambio de datos binarios en serie, especifica la interfaz entre DTE y DCE.

Cuando se realiza una conexin serie, un protocolo de lnea en serie como EIA-530, X.21, RS-422/449, RS-232 o V.35, comienza a controlar la transmisin de seales a travs de la lnea de la siguiente manera: 1. El DCE transmite una seal DSR al DTE, que responde con una seal DTR. Despus de esta transmisin, la conexin se establece y el trfico puede pasar. 2. Cuando el dispositivo DTE est listo para recibir datos, establece su seal RTS a un estado marcado (todo unos) para indicar al DCE que puede transmitir datos. 3. Cuando el dispositivo DCE est listo para recibir datos, establece su seal de va libre para enviar (CTS, por sus siglas en ingls) a un estado marcado para indicar al DTE que puede transmitir datos.

Introduccin de WAN

Captulo 1: Redes de rea extensa

4. Cuando se ha finalizado la negociacin para enviar informacin, los datos se transmiten a travs de las lneas de datos transmitidos (TD) y datos recibidos (RD):

Lnea TD: Lnea a travs de la cual los datos de un dispositivo DTE se transmiten a un dispositivo DCE. Lnea RD: Lnea a travs de la cual los datos de un dispositivo DCE se transmiten a un dispositivo DTE.

T1
La interfaz T1, tambin conocida como seal de datos 1 (DS1), es un medio de transmisin de datos digitales capaz de gestionar 24 conexiones simultneas (tambin conocidas como franjas de tiempo o canales) con un total conjunto de 1,544 Mbps. La interfaz T1 combina los 24 canales independientes en una nica conexin. La secuencia de datos T1 se divide en tramas. Cada trama consta de un nico bit de tramado y 24 canales de 8 bits, con un total de 193 bits for trama de T1. Las tramas se transmiten a 8.000 por segundo, con una velocidad de transmisin de datos de 1,544 Mbps (8.000 x 193 = 1,544 Mbps). A medida que se recibe y procesa cada trama, los datos en cada canal de 8 bits se mantienen con los datos del canal de tramas anteriores, que permiten que el trfico T1 se separe en 24 flujos separados a travs de un solo medio. Las normas T1 admitidas incluyen:

Jerarqua digital Especificaciones de formatos del Instituto Nacional de Normas de USA. (American National Standards Institute) (ANSI) T1.107, describe los formatos de jerarqua digital y se utiliza junto con T1.102, Jerarqua digital Interfaces elctricas. Telcordia GR 499-CORE, Requisitos genricos de los sistemas de transporte (TSGR): Requisitos comunes describe los requisitos genricos bsicos comunes a los sistemas de transporte. Telcordia GR 253-CORE, Sistemas de transporte de la red ptica sncrona (SONET): Criterios genricos comunes, describe criterios genricos de SONET. La referencia tcnica AT&T 54014, Especificacin de interfaz y descripcin de servicios de ACCUNET T45 y T45R describe la descripcin de servicios y especificacin de interfaces para servicios de AT&T ACCUNET T45 y T45R. Las recomendaciones de la Unin Internacional de Telecomunicaciones (ITU-T) G.751 y G.703 describen las caractersticas fsicas y elctricas de las interfaces jerrquicas digitales.

E1
E1 es el formato europeo para la transmisin digital DS1. Las conexiones E1 son similares a las conexiones T1, salvo que transmiten seales a 2,048 Mbps. Cada seal tiene 32 canales y cada canal transmite a 64 Kbps. Las conexiones E1 tienen ancho de banda mayor que las conexiones T1 porque utilizan todos los bits (8) de un canal.

Introduccin de WAN

Manual de referencia de ScreenOS: Conceptos y ejemplos

Las siguientes normas se aplican a las interfaces E1:


La recomendacin ITU-T G.703, Caractersticas fsicas/elctricas de interfaces jerrquicas digitales describe las velocidades de transmisin de datos y los esquemas de multiplexado. La recomendacin ITU-T G.751, Aspectos generales de los sistemas de transmisin digital: Equipo terminal describe los mtodos de trama. La recomendacin ITU-T G.775, Criterios de deteccin y autorizacin de defectos de Seal de indicacin de la alarma (AIS) y prdida de seal (LOS) describe los mtodos de elaboracin de informes de alarmas.

T3
T3, tambin conocido como seal de datos 3 (DS3), es un medio de transmisin de datos de alta velocidad formado mediante la multiplexin de 28 seales DS1 en siete seales DS2 separadas y combinando las seales DS2 en una sola seal DS3. Las conexiones T3 operan a 43,736 Mbps. Las normas T3 admitidas incluyen:

Jerarqua digital Especificaciones de formatos del Instituto Nacional de Normas de USA. (American National Standards Institute) (ANSI) T1.107, describe los formatos de jerarqua digital y se utiliza junto con T1.102, Jerarqua digital Interfaces elctricas. Telcordia GR 499-CORE, Requisitos genricos de los sistemas de transporte (TSGR): Requisitos comunes describe los requisitos genricos bsicos comunes a los sistemas de transporte. Telcordia GR 253-CORE, Sistemas de transporte de la red ptica sncrona (SONET): Criterios genricos comunes describe criterios genricos de SONET. Telcordia TR-TSY-000009, Multiplexados digitales asncronos, requisitos y objetivos, describe objetivos y requisitos tcnicos genricos para multiplexados asncronos que operan a velocidades digitales DS1C (3,152 Mbps), DS2 (6,312 Mbps) y DS3 (44,736 Mbps). Referencia tcnica AT&T 54014, Especificacin de interfaz y descripcin de servicios de ACCUNET T45 y T45R describe la descripcin de servicios y especificacin de interfaces para servicios de AT&T ACCUNET T45 y T45R. ITU G.751, Equipo de multiplexado digital que opera a una velocidad de bits de tercer orden de 34 368 kbit/s y una velocidad de bits de cuarto orden de 139 264 kbit/s y que utiliza justificacin positiva, G.703, Caractersticas fsicas/elctricas de interfaces jerrquicas digitales y G.823, El control de variaciones y oscilaciones dentro de redes digitales que se basan en la jerarqua de 2048 kbit/s describen sistemas y medios de transmisin, sistemas digitales y redes.

Introduccin de WAN

Captulo 1: Redes de rea extensa

E3
E3 es el equivalente europeo de T3. Se forma mediante la multiplexin conjunta de 16 seales E1 independientes. Funciona a 34,368 Mbps. Las normas E3 admitidas incluyen:

ITU G.751, Equipo de multiplexado digital que opera a una velocidad de bits de tercer orden de 34 368 kbit/s y una velocidad de bits de cuarto orden de 139 264 kbit/s y que utiliza justificacin positiva, G.703, Caractersticas fsicas/elctricas de interfaces jerrquicas digitales y G.823, El control de variaciones y oscilaciones dentro de redes digitales que se basan en la jerarqua de 2048 kbit/s describen sistemas y medios de transmisin, sistemas digitales y redes. Telcordia GR 499-CORE, Requisitos genricos de los sistemas de transporte (TSGR): Requisitos comunes describe los requisitos genricos bsicos comunes a los sistemas de transporte. Telcordia GR 253-CORE, Sistemas de transporte de la red ptica sncrona (SONET): Criterios genricos comunes describe criterios genricos de SONET.

RDSI
La red digital de servicios integrados (RDSI) es una norma internacional de comunicaciones para enviar voz, vdeo y datos a travs de lneas telefnicas digitales. Como servicio de acceso telefnico a demanda, la RDSI tiene establecimiento de llamada rpido y latencia baja as como la capacidad de transmitir voz, datos y transmisiones de vdeo de alta calidad. RDSI tambin es un servicio conmutado de circuitos que se puede utilizar tanto en conexiones multipunto como de punto a punto. La Figura 2 ilustra una configuracin bsica para la conectividad de RDSI. La sucursal est conectada a las oficinas centrales corporativas mediante RDSI. La conexin se establece automticamente para cualquier solicitud de envo de paquetes a Internet, y se descarta despus de que transcurra un nmero establecido de segundos sin trfico. Debido a que las conexiones de RDSI normalmente toman unos pocos milisegundos para establecerse (casi de forma instantnea), la conexin puede establecerse y terminarse con facilidad segn la demanda.

Introduccin de WAN

Manual de referencia de ScreenOS: Conceptos y ejemplos

Figura 2: Topologa bsica de RDSI


Sucursal A 10.1.1.1/16 Zona Trust Interfaz BRI S/T Dispositivos de seguridad Sucursal B 10.2.2.2/16 Zona Trust Servidor HTTP www.juniper.net

NT1

Interfaz BRI U

NT1

Servidor FTP

Conmutador RDSI Rede portadora/Internet PRI (23-B + D) Oficinas centrales corporativas 11.0.0.0/16

En Norteamrica, la mayora de portadoras proporcionan una interfaz U para la conectividad RDSI. Para comunicarse con su dispositivo de seguridad, debe utilizar equipo adicional, una unidad de terminacin de red (NT1), para convertir la interfaz U en una interfaz S/T. Los dispositivos de seguridad de Juniper Networks incluyen nicamente la interfaz S/T. La NT1 est ubicada en las instalaciones del cliente (vea las sucursales en la Figura 2) y puede ser suministrada por la portadora. La RDSI de ScreenOS admite las siguientes caractersticas en su dispositivo de seguridad:

Enrutamiento de acceso telefnico a demanda (DDR) DDR permite que el dispositivo de seguridad inicie y cierre automticamente una sesin a medida que lo demandan las estaciones de transmisin. El dispositivo simula mantenimientos de conexin para que las estaciones finales traten la sesin como activa. El DDR permite que el usuario inicie las conexiones WAN nicamente cuando es necesario y de esa manera, reduce los costos de acceso de la ubicacin remota.

Interfaz de velocidad bsica (BRI) BRI tambin se denomina 2B+D, porque consta de dos canales B de 64 Kbps y un canal D de 16 Kbps. Los canales B se utilizan para datos de usuario y el canal D es responsable de transmitir trfico de sealizacin para establecer y terminar conexiones entre sitios.

Introduccin de WAN

Captulo 1: Redes de rea extensa

Cada RDSI BRI utiliza la convencin de nomenclatura brix/0, donde x = id-ranura y x/0 representa slot-id/port-id. Los dos canales B para bri0/0; por ejemplo, se identifican como bri0/0.1 y bri0/0.2.

Ancho de banda a demanda Los dos canales B de 64 Kbps se pueden combinar para formar una sola conexin de 128 Kbps segn sea necesario. El dispositivo admite ancho de banda a demanda en la interfaz RDSI de la siguiente manera:

Introduce ms canal cuando el trfico est ms all del umbral configurado Desconecta el canal cuando el trfico es menor que el umbral configurado

El ancho de banda a demanda se implementa en su dispositivo de seguridad mediante el encapsulado PPP de conexin mltiple (MLPPP).

Interfaz de marcador y conjunto de marcadores La interfaz de marcador y el conjunto de marcadores permiten que la interfaz RDSI marque a mltiples destinos cuando el nmero de destinos supera el nmero de lneas fsicas disponibles. La interfaz RDSI puede pertenecer a ms de un conjunto, lo cual permite que se utilice una sola lnea para tener acceso telefnico a ms de un destino. Para obtener ms informacin sobre esta funcin, consulte Acceso telefnico utilizando la interfaz de marcador en la pgina 56.

Respaldo de acceso telefnico Puede utilizar la interfaz RDSI para respaldo de acceso telefnico, para activar una conexin WAN secundaria cuando falla una lnea sncrona primaria.

Lnea arrendada La lnea RDSI arrendada admite 128 Kbps. En modo de lnea arrendada, la interfaz RDSI opera como interfaz de capa 3 que nicamente puede entregar datos, de forma que no es necesario el canal D.

Supervisin de las interfaces de RDSI y de marcador

Opciones de la interfaz WAN


Esta seccin explica las opciones de las interfaces WAN que estn disponibles en algunos de los dispositivos de seguridad. La Tabla 1 muestra qu atributos fsicos estn disponibles en las interfaces WAN.

Opciones de la interfaz WAN

Manual de referencia de ScreenOS: Conceptos y ejemplos

Tabla 1: Atributos fsicos de la interfaz WAN Atributos fsicos


Tiempo de retencin Opciones de DTE Suma de comprobacin de la trama Indicador de ciclo de inactividad Indicador de inicio/final Manejo de la seal Reloj Modo de reloj Fuente de reloj Velocidad del reloj interno Inversin del reloj de transmisin Franjas de tiempo Franjas de tiempo T1 fraccionada Franjas de tiempo E1 fraccionada Codificacin de la lnea AMI B8ZS HDB3 Codificacin de bytes Inversin de datos X X X X X X X X X X X X X X X X

Serie
X X

T1
X

E1
X

T3
X

E3
X

RDSI (BRI)
X

X X X

X X X

X X X

X X X X

Tramas Supertrama Trama extendida Trama G.704 Trama G.751 Trama de paridad de C bits Seal de bucle invertido Modo de bucle invertido Prueba de tasa de errores por bit (BERT) Modo de compatibilidad CSU Respuesta de bucle invertido remoto Respuesta FEAC Opciones de RDSI X X X X X X X X X X X X X X X X X

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

Atributos fsicos
Tipo de conmutador SPID1 SPID2 Negociacin TEI Nmero de llamada Valor T310 Envo completo Modo BRI (marcador/lnea arrendada) Opciones de marcador Nmeros primarios/alternos Umbral de carga Tiempo de inactividad Nmero de reintentos Intervalo Conjunto de marcadores

Serie

T1

E1

T3

E3

RDSI (BRI)
X

X X X X X X

X X X X X X

Tiempo de retencin
El tiempo de retencin especifica la cantidad de tiempo que puede transcurrir antes de que el dispositivo considere que la conexin de la interfaz est en funcionamiento o desconectada. El tiempo de retencin es til en situaciones en las que una interfaz se conecta a un multiplexador de insercin/extraccin (ADM) o a un multiplexador de divisin de longitud de onda (WDM) o para proteger de los agujeros de tramas de red ptica sncrona/jerarqua digital simultnea (SONET/SDH), ya que quizs no le interese que la interfaz notifique de que su estado de conexin est activo o inactivo. Por ejemplo, si una interfaz pasa de activa a inactiva, no se informa al resto del sistema de que est inactiva hasta que ha permanecido inactiva por el periodo de tiempo de retencin especificado. En forma similar, no se informa al resto del sistema de que una interfaz est activa hasta que permanece activa por el periodo de tiempo de retencin especificado. WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Introduzca los siguientes datos y haga clic en Apply:
Hold time Down: 500 Up: 500

CLI
set interface interfaz hold-time { down 500 | up 500 } save

Opciones de la interfaz WAN

Manual de referencia de ScreenOS: Conceptos y ejemplos

NOTA:

Un tiempo de retencin de 0 indica que la interfaz descarta trfico cuando el dispositivo recibe un mensaje de que la interfaz est inactiva.

Suma de comprobacin de la trama


La suma de comprobacin de la trama verifica que las tramas que pasan a travs de un dispositivo son vlidas usando un esquema de codificacin de bits. Algunas interfaces WAN utilizan una suma de comprobacin de trama de 16 bits pero pueden configurar una suma de comprobacin de 32 bits para ofrecer una verificacin de paquetes ms fiable. Para configurar la interfaz WAN para utilizar una suma de comprobacin de 32 bits (x es t1, e1 o t3): WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Para la opcin Frame Checksum, seleccione 32-bits, luego haga clic en Apply. CLI
set interface interfaz x-options fcs 32 save

Indicador de ciclo de inactividad


Un ciclo de inactividad es el tiempo en el que el dispositivo no tiene datos que transmitir. Los indicadores de ciclo de inactividad permiten que algunas interfaces WAN transmitan el valor 0x7E en los ciclos de inactividad. Para configurar la interfaz WAN y transmitir el valor 0xFF (todos), (x es t1, e1, t3 o bri): WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Para la opcin Idle-cycle Flags, seleccione 0xFF (todos), haga clic en Apply. CLI
set interface interfaz x-options idle-cycle-flag ones save

Indicador de inicio/final
Los indicadores de inicio y final para las interfaces T1 o E1 espere dos ciclos de inactividad que transcurren entre un indicador de inicio y final. Para configurar la interfaz y compartir la transmisin de indicadores de inicio y final, (x es t1 o e1): WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Para Start/End Flags en la opcin Transmission, seleccione Shared y, a continuacin haga clic en Apply. CLI
set interface interfaz x-options start-end-flag shared

10

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

Para compartir la transmisin de los indicadores de inicio y final en una interfaz T3: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione el tipo de codificacin de lnea y, a continuacin haga clic en Apply: CLI
set interface interfaz t3-options start-end-flag save

Codificacin de la lnea
A continuacin se encuentran las tcnicas de codificacin comunes T1 y E1:

Inversin de marcas alternas (AMI): T1 y E1 Bipolar con sustitucin de 8 ceros (B8ZS): nicamente T1 Cdigo bipolar 3 de alta densidad (HDB3): nicamente E1

Para cambiar el tipo de codificacin (x es t1 o e1): WebUI Network > Interfaces > List > Edit (Interfaz X) > WAN: Seleccione el tipo de codificacin de lnea y, a continuacin haga clic en Apply. CLI
set interface interfaz x-options line-encoding opcin save

Codificacin de inversin de marcas alternas


La codificacin AMI fuerza las seales de unos en una lnea T1 o E1 para alternar entre los voltajes positivo y negativo para cada transmisin sucesiva 1. Cuando se utiliza la codificacin de inversin de marcas alternas (AMI), una transmisin de datos con una secuencia larga de ceros no tiene transiciones de voltaje en la lnea. En esta situacin, los dispositivos tienen dificultad para mantener la sincronizacin del reloj porque ellos dependen de las fluctuaciones de voltaje para sincronizarse constantemente con el reloj de transmisin. Para contrarrestar este efecto, el nmero de ceros consecutivos en una secuencia de datos se restringe a 15. Esta restriccin se denomina requisito de densidad de unos, porque requiere cierto nmero de unos por cada 15 ceros que se transmiten. En una lnea AMI codificada, dos pulsos consecutivos de la misma polaridad (positivos o negativos) se denominan infraccin bipolar (BPV), que suele indicarse como un error. Inversin de datos Cuando activa la inversin de datos, todos los bits de datos en la secuencia de datos se transmiten inversamente, es decir, los ceros se transmiten como unos y los unos como ceros. La inversin de datos se utiliza slo en un modo AMI para proporcionar la densidad en la secuencia transmitida. Para habilitar la inversin de datos: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Marque la casilla de verificacin Invert data, luego haga clic en Apply.
Opciones de la interfaz WAN

11

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
set interface interfaz t1-options invert-data save

Codificacin de la lnea B8ZS y HDB3


Ni la sustitucin bipolar con 8 ceros (B8ZS) ni la codificacin del cdigo bipolar 3 de alta densidad (HDB3) restringen el nmero de ceros que se puede transmitir en una lnea, sino que detectan secuencias de ceros y las sustituyen con patrones de bits para proporcionar las oscilaciones de seal requeridas para mantener la conexin sincronizada. El mtodo de codificacin B8ZS para las lneas T1 detecta secuencias de ocho ceros consecutivos y las sustituye con un patrn de dos BPV consecutivas (11110000). Debido a que el extremo de recepcin utiliza la misma codificacin, detecta las BPV como sustituciones de ceros y no se indica ningn error de BPV. Un solo BPV, que no coincide con la secuencia de bits de sustitucin 11110000, es probable que genere un error, dependiendo de la configuracin del dispositivo. El mtodo de codificacin de HDB3 para las lneas E1 detecta las secuencias de cuatro transmisiones consecutivas de 0 y sustituye un solo BPV (1100). De manera similar a la codificacin de B8ZS, el dispositivo receptor detecta las sustituciones de ceros y no genera un error de BPV.

Codificacin de bytes
Una interfaz T1 utiliza la codificacin de bytes de 8 bits por byte (nx64). Puede configurar una codificacin de bytes alterna de 7 bits por byte (nx56). Para configurar la codificacin de bytes de la interfaz: WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione el tipo de codificacin de bytes, luego haga clic en Apply. CLI
set interface interfaz t1-options byte-encoding opcin save

Tendido de la lnea
Algunas interfaces WAN le permiten configurar el tendido de la lnea, que es la distancia programable entre el dispositivo y su oficina principal. Una interfaz T1 tiene cinco rangos de ajuste posibles para el tendido de la lnea:

De 0 a 132 pies (de 0 a 40 m) De 133 a 265 pies (de 40 a 81 m) De 266 a 398 pies (de 81 a 121 m) De 399 a 531 pies (de 121 a 162 m) De 532 a 655 pies (de 162 a 200 m)

Una interfaz T3 tiene dos ajustes para la adaptacin de la lnea T3: Un ajuste corto, que es inferior a 255 pies (aproximadamente 68 metros) y un ajuste largo, que es superior a 255 pies e inferior a 450 pies (aproximadamente 137 metros).

12

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

Para ajustar el rango de la lnea de interfaz (X es t1 o t3) o CLI: WebUI Network > Interfaces > List > Edit (Interfaz X) > WAN: Seleccione el rango de adaptacin de la lnea y, a continuacin haga clic en Apply: CLI
set interface interfaz t1-options buildout rango save o set interface interfaz t3-options long-buildout save

Modo de trama
La interfaz T1 utiliza dos tipos de trama: supertrama (SF) y supertrama extendida (ESF). La interfaz E1 utiliza trama G.704 o G.704 sin trama CRC4, o puede estar en modo sin trama. Las interfaces E3 utilizan la trama G.751 o pueden estar en el modo sin trama. Para configurar la trama para la interfaz WAN (x is t1, e1, t3, o e3): WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione el modo de trama y haga clic en Apply: CLI
set interface interfaz x-options framing opciones

Supertrama para T1
Una supertrama (SF), tambin conocida como trama D4, consta de 192 bits de datos: 24 canales de 8 bits y un solo bit de tramado. El nico bit de tramado es parte de una secuencia de trama de 12 bits. El bit 193 en cada trama T1 se establece en un valor y cada 12 tramas consecutivas se examinan para determinar el patrn de bits de trama para la SF de 12 bits. El dispositivo de recepcin detecta estos bits para sincronizarlos con la secuencia de datos entrantes y determina cundo comienza y finaliza el patrn de trama.

Supertrama extendida para T1


La supertrama extendida (ESF) extiende la SF D4 de 12 a 24 tramas, que tambin aumenta los bits de 12 a 24. Los bits adicionales se utilizan para la sincronizacin de la trama, deteccin de errores y comunicaciones de mantenimiento a travs de la conexin de datos de la instalacin (FDL). nicamente los bits de trama de las tramas 4, 8, 12, 16, 20 y 24 en la secuencia de la SF se utilizan para crear el patrn de sincronizacin.

Opciones de la interfaz WAN

13

Manual de referencia de ScreenOS: Conceptos y ejemplos

Trama de paridad de bits C para T3


El modo de paridad de bits C controla el tipo de trama que est presente en la seal T3 transmitida. Cuando el modo de paridad de bits C est activado, las posiciones de bits C se utilizan para el error de bloque de interlocutor (FEBE), control y alarma de extremo (FEAC), conexin de datos de terminal, paridad de ruta y bits del indicador de modo, segn se define en T1.107a-1989 de ANSI. Cuando el modo de paridad de bits C est desactivado, se utiliza el modo de trama bsico T3 (M13). Para deshabilitar el modo de paridad de bits C y utilizar la trama M13 para su interfaz T3: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione el modo de trama y haga clic en Apply: CLI
unset interface interfaz t3-options cbit-parity save

Sincronizacin de reloj
La sincronizacin de reloj determina la forma en que las redes muestrean los datos transmitidos. A medida que un enrutador en una red recibe las secuencias de informacin, una fuente de reloj especifica cundo se deben tomar muestras de datos. Algunas interfaces WAN le permiten configurar la siguiente informacin del sincronizacin de reloj:

Modo de sincronizacin de reloj Fuente de sincronizacin de reloj Velocidad del reloj interno Inversin del reloj de transmisin

Modo de sincronizacin de reloj


Hay tres modos de sincronizacin de reloj:

El modo de sincronizacin de bucle utiliza el reloj de recepcin de DCE (RX) para sincronizar los datos del DCE al DTE. El modo de sincronizacin de DCE utiliza el reloj de transmisin de DTE (TX), que el DCE genera para que el DTE utilice como reloj de transmisin para DTE. El modo de sincronizacin interna, tambin conocido como sincronizacin de lnea, utiliza un reloj generado internamente.

NOTA:

Para las interfaces TIA/EIA 530, V.35, RS0232 y RS-449, puede configurar cada interfaz de forma independiente para que utilice el modo de bucle, DCE o de sincronizacin interna. Para las interfaces X.21, nicamente se admite el modo de sincronizacin de bucle.

14

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

El modo de sincronizacin de reloj de DCE y el modo de sincronizacin de bucle utilizan relojes externos generados por el DCE. La Figura 3 muestra fuentes de reloj para los modos de sincronizacin de bucle, DCE e interna.
Figura 3: Modo de sincronizacin de reloj de interfaz serie
Datos RX Reloj RX Reloj TXC TX-Fuente-Reloj Datos TX Reloj TX

DCE Bucle DTE Reloj interno

Dispositivo DCE

Dispositivo DTE

Para configurar el modo de reloj de una interfaz de serie: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN:
Hold Time Clock Mode

Seleccione el modo de sincronizacin de reloj y haga clic en Apply. CLI


set interface interfaz serial-options clocking-mode { dce | internal | loop }

Fuente de sincronizacin de reloj


La fuente de reloj puede ser el reloj de nivel 3 interno, que reside en el tablero de control, o un reloj externo que se recibe desde la interfaz que est configurando. De forma predeterminada, la fuente de reloj de la interfaz es interna, lo que significa que cada interfaz utiliza el reloj de nivel 3 interno. Para las interfaces que pueden utilizar distintas fuentes de reloj, la fuente puede ser interna (tambin llamada sincronizacin de lnea o sincronizacin normal) o externa (tambin denominada sincronizacin de bucle). Para establecer la fuente del reloj de una interfaz para utilizar un reloj externo: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN:
Hold Time Clocking

Seleccione el modo de sincronizacin de reloj y haga clic en Apply. CLI


set interface interfaz clocking external

Opciones de la interfaz WAN

15

Manual de referencia de ScreenOS: Conceptos y ejemplos

Velocidad del reloj interno


La velocidad del reloj interno es la velocidad que se utiliza normalmente con el modo de sincronizacin interna del reloj.

NOTA:

Para las interfaces RS-232 con modo de sincronizacin interna configurado, la velocidad del reloj debe ser inferior a 20 KHz. Para configurar la velocidad del reloj: WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione los siguientes datos y haga clic en Apply:
Hold Time Clock Rate: Seleccione la velocidad

CLI
set interface interfaz serial-options clock-rate nmero save

Puede configurar las siguientes velocidades de interfaz:


1.2 KHz 2.4 KHz 9.6 KHz 19.2 KHz 38.4 KHz 56.0 KHz 64.0 KHz 72.0 KHz 125.0 KHz 148.0 KHz 250.0 KHz 500.0 KHz 800.0 KHz 1.0 Mhz 1.3 Mhz 2.0 Mhz 4.0 Mhz 8.0 Mhz

Aunque la interfaz WAN est diseada para uso en la velocidad predeterminada de 8,0 MHz, es posible que necesite utilizar una velocidad ms lenta en alguna de las siguientes condiciones:

El cable de interconexin es demasiado largo para lograr un funcionamiento efectivo. El cable de interconexin est expuesto a una fuente de ruido extrao que podra provocar un voltaje no deseado que supera +1 voltio medido diferencialmente entre el conductor de seal y el circuito comn en el extremo de carga del cable, con una resistencia de 50 ohmios sustituida en el generador. Es necesario minimizar la interferencia con otras seales. Es necesario invertir una o ms seales.

NOTA:

Para las interfaces TIA/EIA 530, V.35, RS-232 y RS-449 con modo de sincronizacin interna del reloj activado, puede configurar la velocidad del reloj. Para obtener ms informacin sobre el modo de sincronizacin interna del reloj, consulte Modo de sincronizacin de reloj en la pgina 14.

16

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

Para obtener informacin detallada acerca de la relacin entre la velocidad de sealizacin y la distancia de la interfaz al cable consulte las siguientes normas:

EIA 422-A, Caractersticas elctricas de los circuitos de interfaz digital de voltaje equilibrado EIA 423-A, Caractersticas elctricas de los circuitos de interfaz digital de voltaje desequilibrado

Inversin del reloj de transmisin


El reloj de transmisin alinea cada paquete saliente transmitido a travs de las interfaces WAN. Cuando el dispositivo utiliza el modo de sincronizacin externa del reloj (DCE o bucle), la utilizacin de cables largos podra introducir un cambio de fase del reloj y de los datos transmitidos de DTE. A altas velocidades, este cambio de fase podra ocasionar errores. La inversin del reloj de transmisin, corrige el cambio de fase; por consiguiente, se reducen las tasas de error. Para establecer la transmisin a invertir: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione los siguientes datos y haga clic en Apply:
Serial Options Transmit clock invert: (seleccione)

CLI
set interface interfaz serial-options transmit-clock invert save

Manejo de la seal
El manejo de seal normal se define por medio de las siguientes normas:

Norma 530 de TIA/EIA Recomendacin V.35 ITU-T Recomendacin X.21 ITU-T

Opciones de la interfaz WAN

17

Manual de referencia de ScreenOS: Conceptos y ejemplos

La Tabla 2 muestra los modos de interfaz serie compatibles con cada tipo de seal.
Tabla 2: Manejo de seal por tipo de interfaz serie Seal
Seales de DCE: Va libre para enviar (CTS) Deteccin de la portadora de datos (DCD) Datos listos para emisin (DSR) Modo de prueba (TM) Seales para DCE: Datos listos para transferencia (DTR) Solicitud de envo (RTS) TIA/EIA 530, V.35, RS-232, RS-449 TIA/EIA 530, V.35, RS-232, RS-449 TIA/EIA 530, V.35, RS-232, RS-449 TIA/EIA 530, V.35, RS-232, RS-449 TIA/EIA 530, V.35, RS-232, RS-449 nicamente 530 TIA/EIA

Interfaces serie

Para configurar las caractersticas de la interfaz de serie: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione los siguientes datos y haga clic en Apply:
DTE Options Select your options

CLI
set interface interfaz serial-options dte-options { ... } save

NOTA:

Si se especifica ignore-all, no se pueden configurar otras opciones de manejo de seal.

Seal de bucle invertido


La seal de control en una conexin T1, E1, T3 o E3 es la seal de bucle invertido. Al utilizar la seal de bucle invertido, los operadores situados en el centro de control de la red pueden obligar al dispositivo situado en el extremo remoto de una conexin a que vuelva a retransmitir a la ruta de transmisin sus seales recibidas. El dispositivo de transmisin puede entonces verificar que las seales recibidas coinciden con las seales transmitidas para llevar a cabo la verificacin de extremo a extremo en la conexin.

Bucle invertido remoto y local


El bucle invertido de la unidad de interfaz de lnea (LIU) remota devuelve los datos de transmisin (TX) y el reloj TX al dispositivo como datos de recepcin (RX) y reloj RX. Desde la lnea, el bucle invertido de la LIU devuelve los datos RX y el reloj RX a la lnea como datos TX y reloj TX, segn se indica en la Figura 4.

18

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

Figura 4: Bucle invertido de LIU de la interfaz WAN


Dispositivo DTE

Datos TX Desde el dispositivo Reloj TX Datos RX Al dispositivo Reloj RX

Datos TX Reloj TX Datos RX Reloj RX Desde la lnea A la lnea

Los DCE local y remoto controlan las seales especficas de la interfaz TIA/EIA 530 para activar el bucle invertido local y remoto en el DCE socio de la conexin. La Figura 5 muestra el bucle invertido local.
Figura 5: Bucle invertido local de la interfaz WAN
Dispositivo DTE

Datos TX Desde el dispositivo Al dispositivo Reloj TX Datos RX Reloj RX A la lnea

Desde la lnea Datos de RX y reloj de RX de la lnea no conectados

Modo de bucle invertido


Puede configurar el modo de bucle invertido entre la interfaz local T1, T3, E1, E3 o RDSI (bri) y la unidad de servicio de canal (CSU) remota como se muestra en la Figura 6. Puede configurar el modo de bucle invertido para que sea local o remoto. Con el bucle invertido local, la interfaz puede transmitir paquetes a la CSU pero recibe su propia transmisin de vuelta e ignora los datos de la CSU. Con el bucle invertido remoto, los paquetes enviados de la CSU se reciben por medio de la interfaz, se reenvan si hay una ruta vlida e inmediatamente se retransmiten a la CSU. Las transmisiones de bucle invertido locales y remotas devuelven los datos y la informacin de sincronizacin de reloj. Es posible crear el bucle de los paquetes en la plataforma de enrutamiento local o en la CSU remota. Para configurar el modo de bucle invertido en una interfaz de serie: WebUI Network > Interfaces > List > Edit (interfaz serie) > WAN: Seleccione los siguientes datos y haga clic en Apply:
Diagnosis Options Loopback Mode:

Opciones de la interfaz WAN

19

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
set interface interfaz serial-options loopback { dce-local | local | remote } save
Figura 6: Trfico de bucle invertido de la interfaz WAN remota y local
Dispositivo DTE

T1 Bucle invertido local

Bucle invertido remoto CSU

Para configurar el modo de bucle invertido en la interfaz E1, E3 o RDSI (bri): WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione los siguientes datos y haga clic en Apply:
Diagnosis Options Loopback Mode: local o remote

CLI
set interface interfaz e1-options loopback { local | remote } set interface interfaz e3-options loopback { local | remote } set interface interfaz bri-options loopback { local | remote } save

Algunas interfaces WAN le permiten especificar la opcin loopback payload para devolver los datos sin la informacin del reloj en el enrutador remoto. Para configurar la carga del bucle invertido en una interfaz T1 y T3: WebUI Network > Interfaces > List > Edit (WAN interface) > WAN: Seleccione los siguientes datos y haga clic en Apply:
Diagnosis Options Loopback Mode: payload

CLI
set interface interfaz t1-options loopback payload set interface interfaz t3-options loopback payload save

La codificacin de la carga HDLC de T3 ofrece una mejor estabilidad de la conexin. Ambos extremos de una conexin deben coincidir en utilizar o no la codificacin.

20

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

Para configurar la codificacin de los canales T3 o E3 en la interfaz: WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN:
T3 Options Check the Payload Scrambling checkbox

CLI
set interface interfaz t3-options payload-scrambler set interface interfaz e3-options payload-scrambler save

Modo de compatibilidad de CSU


Es posible asignar una subvelocidad a una interfaz T3 o E3 para reducir la velocidad pico mxima permitida mediante la limitacin de la carga encapsulada de HDLC. Los modos de subvelocidad configuran la interfaz para conectarla con las CSU que utilizan sus propios mtodos de multiplexado. Puede configurar una interfaz T3 para que sea compatible con una CSU Digital Link, Kentrox, Adtran, Verilink o Larscom. Puede configurar una interfaz E3 para que sea compatible con una CSU Digital Link o Kentrox. Para configurar una interfaz T3 o E3 para que sea compatible con CSU en el extremo remoto de la lnea: WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN:
T3 Options Select the CSU Compatibility Mode

CLI
set interface interfaz t3-options compatibility-mode { adtran | digital-link | kentrox | larscom | verilink } nmero set interface interfaz e3-options compatibility-mode { digital-link | kentrox } nmero save

La subvelocidad de una interfaz T3 o E3 debe coincidir exactamente con la de la CSU remota. Cada modo de compatibilidad de CSU tiene distintos parmetros de configuracin:

Adtran: Debe especificar la subvelocidad como un valor entre 1 y 588 que coincida exactamente con el valor configurado en la CSU. Un valor de subvelocidad de 588 corresponde a 44,2 Mbps o 100 por ciento de la carga encapsulada de HDLC. Un valor de subvelocidad de 1 corresponde a 44,2/588, que constituye 75,17 Kbps o el 0,17 por ciento de la carga encapsulada de HDLC.

Opciones de la interfaz WAN

21

Manual de referencia de ScreenOS: Conceptos y ejemplos

Digital Link: Debe especificar la subvelocidad como la velocidad de transmisin de datos que configur en la CSU en el formato xKb o x.xMb. Para la CSU de Digital Link, puede especificar el valor de subvelocidad que coincida con la velocidad de transmisin de datos configurada en la CSU en el formato xkb o x.xMb. Para obtener una lista de valores compatibles, introduzca ? despus de la opcin compatibility-mode digital-link subrate. Kentrox: Debe especificar la subvelocidad como un valor entre 1 y 69 que coincida exactamente con el valor configurado en la CSU. Un valor de subvelocidad de 69 corresponde a 34,995097 Mbps o 79,17 por ciento de la carga encapsulada de HDLC (44,2 Mbps). Un valor de subvelocidad de 1 corresponde a 999,958 Kbps, que es el 2,26 por ciento de la carga encapsulada de HDLC. Cada incremento del valor de subvelocidad corresponde a un incremento de velocidad de aproximadamente 0,5 Mbps. Larscom: Debe especificar la subvelocidad como un valor entre 1 y 14 que coincida exactamente con el valor configurado en la CSU. Un valor de subvelocidad de 14 corresponde a 44,2 Mbps o 100 por ciento de la carga encapsulada de HDLC. Un valor de subvelocidad de 1 corresponde a 44,2/14, que constituye 3,16 Mbps, el 7,15 por ciento de la carga encapsulada de HDLC. Verilink: Debe especificar la subvelocidad como un valor entre 1 y 28 que coincida exactamente con el valor configurado en la CSU. Para calcular la velocidad pico mxima permitida, multiplique la subvelocidad configurada por 1,578 Mbps. Por ejemplo, un valor de subvelocidad de 28 corresponde a 28 multiplicado por 1,578 Mbps, que es 44,2 Mbps, 100 por ciento de la carga encapsulada de HDLC. Un valor de subvelocidad de 1 corresponde a 1,578 Mbps, el 3,57 por ciento de la carga encapsulada de HDLC. Un valor de subvelocidad de 20 corresponde a 20 multiplicado por 1,578 Mbps, que constituye 31.56 Mbps, el 71,42 por ciento de la carga encapsulada de HDLC.

Respuesta de bucle invertido remoto


La seal de peticin de bucle de la conexin de datos de las utilidades T1 se utiliza para comunicar informacin de varias redes en la forma de diagnsticos y supervisin en servicio. La supertrama extendida (ESF), a travs de la conexin de datos de las instalaciones (FDL), permite un control y sealizacin sin intrusiones, lo que ofrece una comunicacin en canales despejados. Las peticiones de bucle invertido remoto se pueden realizar a travs de FDL o dentro de banda. Para configurar la interfaz para que responda a las peticiones de bucle invertido remoto: WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione los siguientes datos y haga clic en Apply:
T1 Options Remote Loopback Respond: (seleccione)

CLI
set interface interfaz t1-options remote-loopback-respond save

22

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

Respuesta FEAC
La seal de alarma y control de interlocutor (FEAC) T3 se utiliza para enviar informacin sobre la alarma o el estado desde la terminal de interlocutor a la terminal propia e iniciar bucles invertidos de T3 en la terminal del interlocutor desde la terminal propia. Para que la unidad de servicio de canal (CSU) remota coloque la plataforma de enrutamiento local en bucle invertido, debe configurar la plataforma de enrutamiento para que responda a la peticin FEAC de CSU: WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Seleccione los siguientes datos y haga clic en Apply:
T3 Options Remote Loopback Respond: (seleccione)

CLI
set interface interfaz t3-options feac-loop-respond save NOTA:

Si configura el bucle invertido remoto o local con la opcin loopback de T3, la plataforma de enrutamiento no responde a las peticiones de FEAC desde la CSU aunque incluya la opcin feac-loop-respond en la configuracin. Para que la plataforma de enrutamiento responda, debe eliminar la opcin loopback de la configuracin.

Franjas de tiempo
Las franjas de tiempo, tambin conocidas como canales o conectores, se utilizan con las conexiones T1 y E1 y permiten que los usuarios fraccionen el uso de los conectores o que los utilicen todos para crear una sola conexin.

T1 fraccionado
Puede designar cualquier combinacin de franjas de tiempo. Para una interfaz T1, el rango de franjas de tiempo es de 1 a 24.

NOTA:

Utilice guiones para configurar rangos de franjas de tiempo. Utilice comas para configurar franjas de tiempo discontinuas. No incluya espacios. Para asignar un conjunto especfico de franjas de tiempo a una interfaz T1 fraccionada: WebUI Network Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Introduzca los siguientes datos y haga clic en Apply:
T1 Options Timeslots: 1-5,10,24

Opciones de la interfaz WAN

23

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
set interface interfaz t1-options timeslots 1-5,10,24 save

E1 fraccionado
Puede designar cualquier combinacin de franjas de tiempo. ScreenOS reserva la franja 1 para trama y no se puede utilizar para configurar una interfaz E1 fraccionada. Para una interfaz E1, el rango de franjas de tiempo es de 2 a 32.

NOTA:

Utilice guiones para configurar rangos de franjas de tiempo. Utilice comas para configurar franjas de tiempo discontinuas. No incluya espacios. Para asignar un conjunto especfico de franjas de tiempo a una interfaz E1 fraccionada: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Introduzca los siguientes datos y haga clic en Apply:
E1 Options Timeslots: 4-6,11,25

CLI
set interface interfaz e1-options timeslots 4-6,11,25 save

Prueba de tasa de errores por bit


La prueba de tasas de errores por bit (BERT) revisa la calidad de las conexiones y le permite solucionar problemas de los errores de la interfaz. Puede configurar algunas de las interfaces WAN para ejecutar una BERT cuando la interfaz recibe una peticin para ejecutar esta prueba. Una prueba BERT requiere un bucle de lnea en el dispositivo de transmisin o en el enrutador del interlocutor. El enrutador local genera un patrn de bits conocido que enva a la ruta de transmisin. El patrn recibido se contrasta con el patrn enviado. Cuanto ms alta sea la tasa de errores por bit (BER) del patrn recibido, peor ser el ruido en el circuito fsico. A medida que mueve la posicin del bucle de lnea cada vez ms en sentido descendente hacia el extremo del enrutador lejano, puede aislar la parte de la conexin con problemas. Antes de comenzar la prueba BERT, desactive la interfaz con el comando set interface interfaz disable en la CLI. Para configurar los parmetros BERT, realice los siguientes pasos: 1. Establezca el algoritmo o el patrn de bits para enviarlo en la ruta de transmisin

24

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

2. Establezca la tasa de errores que se debe supervisar en el momento de recibir el patrn entrante. Esta velocidad se especifica en la forma de nmero entero, entre 0 (el valor predeterminado) y 7, que corresponde a un BER de 100 (1 error por bit) a 107 (1 error por 10 millones de bits). 3. Establezca la duracin de la prueba 4. Guarde su configuracin. 5. Inicie la prueba BERT. En este ejemplo, se establecen los parmetros BERT de la interfaz T3 para ejecutar la prueba durante 60 segundos con el algoritmo de seudo-2t35-o151 y la tasa de error de 104: WebUI Network > Interfaces > List > Edit (Interfaz WAN) > WAN: Introduzca los siguientes datos y haga clic en Apply:
BERT Algorithm: pseudo-2e9-o153 (seleccione) BERT Error Rate: 4 BERT Test Length: 60 Loopback mode: None (seleccione)

CLI
set interface serial1/0 t3-options bert-algorithm pseudo-2t35-o151 set interface serial1/0 t3-options bert-error-rate 4 set interface serial1/0 t3-options bert-period 60 save exec interface serial1/0 bert-test start

NOTA:

Si desea terminar la prueba antes, utilice el comando exec interface interfaz bert-test stop en la CLI. Para ver los resultados de la BERT, utilice el comando get counter statistics interface interfaz extensive en la CLI.

NOTA:

Para intercambiar los patrones BERT entre una plataforma de enrutamiento local y una remota, incluya la opcin de bucle invertido remoto en la configuracin de la interfaz en el extremo remoto de la conexin. Desde la plataforma de enrutamiento local, ejecute el comando exec interface interfaz bert-test start CLI. Puede determinar si hay un problema externo o interno verificando los contadores de errores en la salida con el comando show interface interfaz extensive CLI.

Opciones de RDSI
La opcin mnima de RDSI que debe configurar es el tipo de conmutador de RDSI. La portadora determina las dems opciones.

Opciones de la interfaz WAN

25

Manual de referencia de ScreenOS: Conceptos y ejemplos

Tipo de conmutador
Los tipos de conmutadores de RDSI compatibles son ATT5E, NT DMS-100, INS-NET, ETSI y NI1. WebUI Network > Interfaces > List > Edit (bri) > WAN: Introduzca los siguientes datos y haga clic en Apply:
Switch Type After Reboot:

CLI
set interface bri0/0 isdn switch-type att5e

SPID
Si est utilizando un ISP que requiere un identificador del perfil de servicio (SPID), su dispositivo RDSI no puede realizar ni recibir llamadas hasta que no enve un SPID vlido asignado al ISP cuando obtiene acceso al conmutador para inicializar la conexin. Un SPID es, por lo general, un nmero telefnico de siete dgitos con algunos nmeros opcionales. Sin embargo, cada ISP puede utilizar un esquema de numeracin distinto. Para el tipo de conmutador DMS-100, se asignan dos SPID, uno para cada canal B. Su portadora define los nmeros SPID. En la actualidad, nicamente los tipos de conmutador DMS-100 y NI1 requieren un SPID. El tipo de conmutador AT&T 5ESS puede admitir un SPID, pero recomendamos que configure ese servicio RDSI sin SPID. Adems, los SPID tienen significado nicamente en la interfaz RDSI de acceso local. Los enrutadores remotos nunca reciben el SPID. WebUI Network > Interfaces > List > Edit (bri) > ISDN: Introduzca los siguientes datos y haga clic en Apply:
SPID1: 123456789 SPID2: 987654321

CLI
set interface bri0/0 isdn spid1 123456789

Negociacin TEI
La negociacin del identificador de punto final de la terminal (TEI) es til para los conmutadores que pueden desactivar la capa 1 o 2 cuando no hay llamadas activas. Normalmente, este ajuste se utiliza para las ofertas del servicio RDSI en Europa y conexiones a conmutadores DMS-100 que estn designados para iniciar la negociacin TEI. WebUI Network > Interfaces > List > Edit (bri) > ISDN: Introduzca los siguientes datos y haga clic en Apply:
TEI negotiation: First Call

26

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

CLI
set interface bri0/0 isdn tei-negotiation first-call

Puede generar la negociacin TEI cuando se lleva a cabo la primera llamada (predeterminada) o al encender el dispositivo.

Nmero de llamada
Un nmero para llamadas salientes que la BRI de RDSI suministra al conmutador de RDSI. Algunas redes ofrecen mejores precios en llamadas en las que se presenta el nmero. WebUI Network > Interfaces > List > Edit (bri) > ISDN: Introduzca los siguientes datos y haga clic en Apply:
Calling Number: 1234567890

CLI
set interface bri0/0 isdn calling-number 1234567890

El nmero de llamada debe ser una cadena con menos de 32 caracteres.

Valor T310
Si el dispositivo de seguridad no recibe un mensaje ALERT, CONNECT, DISC o PROGRESS despus de recibir un mensaje CALL PROC, ste enva un mensaje DISC a la red despus de que venza el valor del tiempo de espera T310. WebUI Network > Interfaces > List > Edit (bri) > ISDN: Introduzca los siguientes datos y haga clic en Apply:
T310 Value: 20

CLI
set interface bri0/0 isdn t310-value 20

Puede introducir un valor entre 5 y 100 segundos. El valor de tiempo de espera T310 predeterminado es 10 segundos.

Envo completo
En algunas ubicaciones geogrficas, como Hong Kong y Taiwn, los conmutadores de RDSI requieren que el elemento de informacin de envo completo se agregue en el mensaje de configuracin de llamada saliente para indicar que se incluy el nmero completo. Por lo general, este IE no es necesario en ningn otro lugar. WebUI Network > Interfaces > List > Edit (bri) > ISDN: Introduzca los siguientes datos y haga clic en Apply:
Send Complete: seleccione

Opciones de la interfaz WAN

27

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
set interface bri0/0 isdn sending-complete

El ajuste predeterminado no incluye el elemento de informacin de envo completo.

Modo BRI
La interfaz de RDSI (bri) se puede configurar para el modo de lnea arrendada o como marcador de telfono.

Modo de lnea arrendada


La BRI se puede configurar para que sea compatible con el modo de lnea arrendada, que elimina la sealizacin en el canal D. Si la BRI est configurada para el modo de lnea arrendada, se convierte en una interfaz de capa 3 que nicamente puede distribuir datos. Si tiene la BRI en modo de lnea arrendada, tambin debe proporcionar la direccin IP del dispositivo de seguridad e incluir el encapsulado PPP en su configuracin BRI. No es necesaria la marcacin Q931 para configurar un canal. Para obtener ms informacin sobre los protocolos Q931 y Q921, consulte el manual ScreenOS CLI Reference Guide: IPv4 Command Descriptions. Todas las dems opciones de RDSI no funcionan en modo de lnea arrendada. WebUI Network > Interfaces > List > Edit (bri): Introduzca los siguientes datos y haga clic en Apply:
BRI Mode Leased Line (128kps): seleccione

CLI
set interface bri0/0 isdn leased-line 128kbps

Activacin de marcador
Si se establece una BRI de RDSI para activar la marcacin, la BRI puede actuar como interfaz de marcador. La BRI se debe configurar como interfaz de marcador antes de que pueda proporcionar Enrutamiento de acceso telefnico a demanda (DDR). Una BRI de RDSI no est habilitada para marcador de forma predeterminada. WebUI Network > Interfaces > List > Edit (bri): Introduzca los siguientes datos y haga clic en Apply:
BRI Mode Dial using BRI: seleccione

28

Opciones de la interfaz WAN

Captulo 1: Redes de rea extensa

CLI
set interface bri0/0 isdn dialer-enable

Cuando hace clic en apply, aparecen las opciones de marcador. Para obtener ms informacin sobre la configuracin de las opciones de marcador, consulte Opciones de marcador.

Opciones de marcador
El nombre de la interfaz del marcador tiene el formato dialerx, donde x es un nmero de 0 a 9. Si an no se ha creado una interfaz de marcador, se crea automticamente la interfaz de marcador con el nmero que especifique. Las siguientes opciones de marcador se pueden configurar utilizando el comando set interface dialerx:

Nmeros principales/alternos El nmero principal proporciona un destino remoto para el dispositivo de seguridad al que llamar. Si el nmero principal no est conectado, se utilizar el nmero alterno. Los nmeros principal y alterno pueden ser de cualquier longitud de cadena menor de 32 caracteres.

Umbral de carga Esta opcin proporciona ancho de banda adicional a demanda. Si configura esta opcin y el trfico supera el umbral de carga que especific para un canal B, se utilizar el segundo canal B. El rango para el umbral de carga del canal B est entre 1 y 100 (en porcentaje). El valor predeterminado es del 80 por ciento.

Tiempo de inactividad Utilice esta opcin para establecer la cantidad de tiempo (en segundos) que desea que el dispositivo espere trfico antes de que se descarte la conexin. El tiempo de inactividad se puede establecer entre 0 y 60000 segundos, donde un valor de cero (0) significa que la conexin no puede estar inactiva. El intervalo predeterminado es de 180 segundos.

Nmero de reintentos Utilice esta opcin para establecer el nmero de veces que desea que el dispositivo de seguridad marque el nmero de telfono especificado. Si no logra establecer la llamada, el nmero se vuelve a marcar (una a seis veces) la cantidad de veces que se haya especificado. El valor predeterminado es tres intentos.

Intervalo utilice esta opcin para establecer el intervalo (en segundos) entre los intentos de remarcacin provocados cuando no hay conexin. Puede especificar entre 1 y 60 segundos, el valor predeterminado es 30 segundos.

Opciones de la interfaz WAN

29

Manual de referencia de ScreenOS: Conceptos y ejemplos

Conjunto de marcadores Utilice esta opcin para identificar el conjunto de marcadores que desea que utilice la interfaz de marcador. La identificacin del conjunto de marcadores puede ser cualquier longitud de cadena menor de 32 caracteres.

Utilice el siguiente comando para crear una interfaz de marcador: WebUI Network > Interfaces > List > New > Dialer IF: Introduzca los siguientes datos y haga clic en Apply:
Interface Name: dialerx Primary Number: 16900 Alternate Number: 44440 Load Threshold: 80 Idle Time: 100 Retry times: 3 Interval: 30 Dialer Pool:

CLI
set interface dialerx primary-number 16900 set interface dialerx alternative-number 44440 set interface dialerx load-threshold 80 set interface dialerx idle-time 100 set interface dialerx retry 30

Desactivacin de una interfaz WAN


Puede desactivar una interfaz WAN utilizando la WebUI o la CLI. WebUI Network > Interfaces > Edit (interfaz) > WAN: Anule la seleccin de la casilla de verificacin Enable, luego haga clic en Apply. CLI
set interface interfaz disable save

Encapsulado de la interfaz WAN


Despus de que se ha configurado la interfaz WAN, se puede establecer el encapsulado de la interfaz. Esta seccin describe los siguientes tipos de encapsulado de la interfaz WAN:

Protocolo punto a punto en la pgina 31 Retransmisin de tramas en la pgina 31 Control de la conexin de datos de alto nivel de Cisco (Cisco-HDLC) en la pgina 32

30

Encapsulado de la interfaz WAN

Captulo 1: Redes de rea extensa

Opcin de encapsulado de una sola interfaz


Interfaces sin numerar MTU de protocolo IP esttica Mensajes de mantenimientos de conexin LMI de mantenimiento de conexin

Tipo de encapsulado compatible


PPP, FR y Cisco-HDLC PPP y FR PPP y Cisco-HDLC PPP, FR y Cisco-HDLC FR

Protocolo punto a punto


Las conexiones del protocolo punto a punto (PPP) proporcionan un funcionamiento dplex completo, simultneo y bidireccional, y constituyen una solucin comn para una fcil conexin de una amplia variedad de hosts, puentes y enrutadores. El encapsulado PPP permite que se multiplexen distintos protocolos de capa de red a la vez a travs de conexiones fsicas de uso habitual. PPP utiliza Control de conexin de datos de alto nivel (HDLC) para encapsular paquetes. HDLC es un protocolo de capa de conexin de datos, sncrono, orientado por bits, que especifica un mtodo de encapsulado de datos en conexiones en serie sncronas utilizando caracteres y sumas de comprobacin de trama. El encapsulado PPP est definido en RFC 1661, Protocolo punto a punto (PPP). Para establecer una conexin PPP, cada extremo de una conexin PPP configura la conexin mediante el intercambio de paquetes del protocolo de control de conexin (LCP). El LCP se utiliza para establecer, configurar y probar las opciones de la conexin de datos. Estas opciones incluyen el formato de encapsulado, la autenticacin del interlocutor en el enlace, la gestin de los diferentes lmites de los tamaos de los paquetes, la deteccin de conexiones con bucle invertido y otros errores frecuentes de configuracin, la determinacin de su una conexin funciona bien o falla, y la terminacin de la conexin. PPP permite la autenticacin durante el establecimiento de la conexin para permitir o denegar la conexin a un dispositivo. Esta autenticacin se puede llevar a cabo utilizando el protocolo de autenticacin mediante contrasea (PAP) o el protocolo de autenticacin de establecimiento de conexin por desafo (CHAP), segn se documenta en RFC 1334, Protocolos de autenticacin PPP. Estos protocolos de autenticacin estn diseados para que los utilicen principalmente los hosts o enrutadores que se conectan a un servidor en red a travs de circuitos conmutados o lneas de acceso telefnico, pero tambin se pueden utilizar con lneas dedicadas.

Retransmisin de tramas
La retransmisin de tramas es un protocolo WAN que funciona como la capa de la conexin de datos del modelo de referencia de iInterconexin de sistemas abiertos (OSI). El encapsulado de la retransmisin de tramas se define en RFC 1490, Interconexin de mltiples protocolos mediante retransmisin de tramas y en el Acuerdo de implementacin del foro de retransmisin de tramas FRF3.1/3.2.

Encapsulado de la interfaz WAN

31

Manual de referencia de ScreenOS: Conceptos y ejemplos

El protocolo de retransmisin de tramas le permite reducir costos usando instalaciones de transmisin de datos compartidas y gestionadas por un proveedor de servicios de retransmisin de tramas. Se pagan tarifas fijas por las conexiones locales de cada sitio de la red de retransmisin de tramas hasta el primer punto de presencia (POP) en el que el proveedor mantiene un conmutador de retransmisin de tramas. Todos los clientes del proveedor de servicios comparten la parte de la red entre los conmutadores de retransmisin de tramas. La Figura 7 representa los dispositivos en una red de retransmisin de tramas.
Figura 7: Dispositivos en la red de retransmisin de tramas

DTE

DCE

DCE

DTE

DCE

Es posible conectar dos categoras de dispositivos a una red de retransmisin de tramas:


Los equipos de terminales de datos (DTE) suelen ser el equipo de terminacin para una red especfica y suelen estar situados en las instalaciones del cliente. Los equipos de terminacin del circuito de datos (DCE) suelen ser dispositivos que funcionan en Internet, propiedad de la portadora, y que proporcionan servicios de conmutacin en una red. Los DCE son normalmente conmutadores de paquetes.

Un circuito virtual permanente (PVC) de retransmisin de tramas ofrece una conexin lgica entre dos dispositivos DTE a travs de una red de retransmisin de tramas. Es posible multiplexar varios PVC en un solo circuito fsico para la transmisin a travs de la red. A cada PVC se le asigna un identificador de conexin de datos (DLCI) nico para asegurar que cada cliente reciba solamente su propio trfico.

Control de la conexin de datos de alto nivel de Cisco (Cisco-HDLC)


El protocolo predeterminado para las interfaces serie en los enrutadores y puentes Cisco es el control de la conexin de datos de alto nivel de Cisco (Cisco-HDLC). Cisco-HDLC se utiliza para encapsular los paquetes del protocolo de red de rea local (LAN) para transferirlos a travs de las conexiones WAN. Cisco-HDLC es una extensin del protocolo estndar HDLC desarrollado por la Organizacin Internacional para la Normalizacin (ISO). HDLC es un protocolo de capa de conexin de datos, sncrono, orientado por bits, que especifica un mtodo de encapsulado de datos en conexiones en serie sncronas utilizando caracteres y sumas de comprobacin de trama.

32

Encapsulado de la interfaz WAN

Captulo 1: Redes de rea extensa

Cisco-HDLC supervisa el estado en una interfaz serie mediante el intercambio de paquetes de mantenimiento de conexin con dispositivos de red de interlocutor. Un mensaje de mantenimiento de conexin (keepalive) es una seal que se emite desde un punto final al otro para comunicar que el punto emisor contina activo. Los paquetes de mantenimiento de conexin se utilizan para identificar conexiones inactivas o con errores. Los paquetes de mantenimiento de conexin tambin pueden permitir que los enrutadores descubran direcciones IP de vecinos mediante el intercambio de mensajes de solicitud de direccin y respuesta de direccin del protocolo de resolucin de direcciones de lnea serie (SLARP) con dispositivos de red de interlocutor.

Opciones bsicas de encapsulado


Para configurar el encapsulado en una interfaz WAN: WebUI Network > Interfaces > Edit (Interfaz WAN): Seleccione el tipo de encapsulado WAN y la zona de seguridad, luego haga clic en Apply. (Opcional) Configure las opciones de encapsulado para la conexin fsica. Debe realizar este paso nicamente si tiene que cambiar las opciones HDLC predeterminadas para una conexin. CLI
set interface interfaz encapsulation tipo set interface interfaz zone zona NOTA:

Configure la conexin fsica configurando la interfaz que representa la conexin.

Interfaces sin numerar


Una interfaz sin numerar no tiene asignada su propia direccin IP, sino que la toma prestada de otras interfaces. De este modo, se conserva el espacio de la direccin. Si una interfaz sin numerar seala a una interfaz que no est funcionando (no se indica el estado de la interfaz o el protocolo con el valor de UP), la interfaz sin numerar tampoco funciona. Recomendamos que las interfaces sin numerar sealen a una interfaz de bucle invertido, ya que las interfaces de bucle invertido no fallan. Para configurar una interfaz sin numerar de IP: WebUI Network > Interface > Edit (interfaz WAN): Seleccione la opcin sin numerar, la interfaz de origen y luego haga clic en Apply. CLI
set interface interfaz ip unnumbered interface src interface save

Encapsulado de la interfaz WAN

33

Manual de referencia de ScreenOS: Conceptos y ejemplos

Configuracin de la unidad de transmisin mxima del protocolo


Es posible configurar la unidad de transmisin mxima (MTU) del protocolo en cada interfaz fsica con PPP o con el encapsulado de retransmisin de tramas. La MTU predeterminada del protocolo es de 1500 bytes en interfaces en serie, T1, E1 y de conexin mltiple, y de 4470 bytes en interfaces T3. Puede especificar un valor entre 800 y 8192 bytes. La MTU de medios se deriva de la MTU del protocolo. Si aumenta el tamao de la MTU del protocolo, se debe asegurar que el tamao de la MTU de medios sea igual o mayor que la suma de la MTU del protocolo y la carga del encapsulado. Para configurar la MTU del protocolo en una interfaz fsica: WebUI Network > Interfaces > Edit (Interfaz WAN): Introduzca un valor entre 800 y 8192 en el campo Maximum Transfer Unit (MTU), luego haga clic en OK. CLI
set interface interfaz mtu nmero save

Configuracin de la direccin IP esttica


Una interfaz WAN utiliza una direccin IP asignada de forma dinmica por un servidor en el otro extremo de la conexin de datos WAN. De forma alterna, puede asignar explcitamente una direccin IP esttica a la interfaz. Para asignar una direccin IP a la interfaz WAN: WebUI Network > Interfaces > Edit (Interfaz WAN): Introduzca una direccin IP y una mscara de red en los campos IP Address/Netmask, luego haga clic en Apply. CLI
set interface interfaz ip dir_ip/mscara save

Mensajes de mantenimientos de conexin


Un mensaje de mantenimiento de conexin (keepalive) es una seal que se emite desde un punto final al otro para comunicar que el punto emisor contina activo. Los paquetes de mantenimiento de conexin se utilizan para identificar conexiones inactivas o con errores. Las interfaces fsicas configuradas con encapsulado WAN envan paquetes de mantenimiento de conexin en intervalos de 10 segundos. Para configurar la interfaz para enviar los paquetes de mantenimiento de conexin en un intervalo diferente: WebUI Network > Interfaces > Edit (interfaz WAN) > WAN encapsulation type: Introduzca el nmero de segundos en el campo Keepalive Interval, y luego haga clic en Apply.

34

Encapsulado de la interfaz WAN

Captulo 1: Redes de rea extensa

CLI
set interface interfaz keepalives segundos save

Para deshabilitar el envo de paquetes de mantenimiento de conexin en una interfaz fsica: WebUI Network > Interfaces > Edit (interfaz WAN) > WAN Encapsulation type: Anule la seleccin de la casilla de verificacin Keepalive, luego haga clic en Apply. CLI
unset interface interfaz keepalives save

La recepcin de paquetes de mantenimiento de conexin por parte de un destino determina si la conexin est activa o inactiva. De forma predeterminada, si un destino no recibe tres paquetes de mantenimiento de conexin sucesivos, ScreenOS determina que la conexin est inactiva. Una conexin inactiva vuelve a activarse cuando el destino recibe un paquete de mantenimiento de conexin. Para cambiar los conteos por los que el destino determina que una conexin est inactiva o activa: WebUI Network > Interfaces > Edit (interfaz wan) > WAN Encapsulation type: Introduzca el nmero de recuentos para Down Counter o Up Counter, luego haga clic en Apply. CLI
set interface interfaz keepalives down-count nmero set interface interfaz keepalives up-count nmero save

Opciones de encapsulado PPP


Esta seccin explica las opciones de encapsulado del protocolo punto a punto (PPP) que estn disponibles en algunas interfaces WAN. Para configurar MLPPP, consulte Opciones de configuracin PPP de conexin mltiple en la pgina 46. Para configurar PPP en una sola conexin fsica en un dispositivo que admite interfaces WAN: 1. Configure el encapsulado PPP en la conexin fsica y asigne la conexin a una zona de seguridad. Configure la direccin IP en la conexin fsica. 2. (Opcional) Configure las opciones PPP para la conexin fsica. Debe realizar este paso nicamente si tiene que cambiar las opciones PPP predeterminadas para la conexin. 3. Configure un perfil de acceso PPP y ascielo a la interfaz. Este paso es necesario incluso si no se utiliza ninguna autenticacin en la conexin de datos PPP.

Encapsulado de la interfaz WAN

35

Manual de referencia de ScreenOS: Conceptos y ejemplos

4. (Opcional) Si se utiliza la autenticacin CHAP o PAP, configure el nombre de usuario y contrasea del interlocutor en la base de datos local del dispositivo.

Perfil de acceso PPP


Un perfil de acceso PPP incluye la siguiente informacin:

Si la autenticacin se utiliza para permitir o denegar la conexin a dispositivos durante la configuracin de la conexin del protocolo de control de conexin (LCP). Si se especifica la autenticacin, puede configurar opciones para el mtodo de autenticacin seleccionado.

NOTA:

Incluso si no se utiliza ninguna autenticacin en la conexin PPP, es necesario configurar un perfil de acceso que especifique que no se usa mtodo de autenticacin, y asociar dicho perfil a la interfaz.

Si la interfaz utiliza una direccin IP esttica que ya configur. Si la interfaz utiliza una direccin IP que un servidor asign de forma dinmica, puede especificar la mscara de red para la direccin IP.

Durante la configuracin de la conexin LCP, la autenticacin se puede utilizar para permitir o denegar la conexin a dispositivos, si la autenticacin falla, la conexin PPP finaliza. La autenticacin est desactivada en interfaces que estn configuradas para encriptacin PPP de forma predeterminada. Si no activa explcitamente la autenticacin en la interfaz, la interfaz no genera peticiones de autenticacin y deniega todos los desafos de autenticacin entrantes. Puede configurar interfaces para que sean compatibles con uno o ambos de los siguientes protocolos de autenticacin:

Protocolo de autenticacin mediante contrasea (PAP), como se define en RFC 1334, Protocolos de autenticacin PPP Protocolo de autenticacin de establecimiento de conexin por desafo (CHAP), como se define en RFC 1994, PPP Protocolo de autenticacin de establecimiento de conexin por desafo (CHAP)

Para configurar una interfaz WAN con el encapsulado PPP: WebUI Network > PPP > PPP Profile > New: Introduzca nombre_perfil en el campo PPP Profile e introduzca otras opciones, luego haga clic en OK. Network > Interfaces > Edit (Interfaz WAN): Seleccione la opcin de nombre_perfil en la lista desplegable Binding a PPP Profile, luego haga clic en Apply. CLI
set ppp profile nombre_perfil ... set interface interfaz ppp profile nombre_perfil save

36

Encapsulado de la interfaz WAN

Captulo 1: Redes de rea extensa

Mtodo de autenticacin PPP


Durante la configuracin de la conexin LCP, la autenticacin se puede utilizar para permitir o denegar la conexin a dispositivos, si la autenticacin falla, la conexin PPP finaliza. Para ver el mtodo de autenticacin de PPP: WebUI Network > PPP > PPP Profile > Edit (nombre_perfil): Seleccione Any, CHAP, PAP o none, luego haga clic en OK. CLI
set ppp profile nombre_perfil { chap | pap | any | none } save

Si utiliza una direccin IP esttica en un perfil de acceso, nicamente puede asociar el perfil a una interfaz que tiene una direccin IP explcitamente configurada. A la inversa, si una interfaz tiene una direccin IP esttica, el perfil de acceso que asocia a la interfaz debe especificar la opcin de static IP. Si un servidor asign de forma dinmica la direccin IP para la interfaz, la mscara de red que corresponde a la interfaz es /32 (255.255.255.255). Para especificar un valor de mscara de red diferente para la interfaz: WebUI Network > PPP > PPP Profile > Edit (nombre_perfil): Introduzca un nuevo valor mscara en el campo Netmask, luego haga clic en OK. CLI
set ppp profile nombre_perfil netmask mscara save

Contrasea
La contrasea se utiliza para autenticar el cliente PPP en la interfaz con su interlocutor. To set the password: WebUI Network > PPP > PPP Profile > Edit (nombre_perfil): Introduzca una cadena en Password, luego haga clic en OK. CLI
set ppp profile nombre_perfil auth secret contrasea save

Protocolos de autenticacin PPP


Esta seccin explica los protocolos de autenticacin PPP que estn disponibles en algunas de las interfaces WAN.

Encapsulado de la interfaz WAN

37

Manual de referencia de ScreenOS: Conceptos y ejemplos

Protocolo de autenticacin de establecimiento de conexin por desafo


Cuando el protocolo de autenticacin de establecimiento de conexin por desafo (CHAP) est activado en una interfaz, la interfaz utiliza el nombre de host del sistema como el nombre enviado en los paquetes de desafo y respuesta. Puede configurar un nombre distinto para la interfaz que utilizar en los paquetes de desafo y respuesta. Para cambiar el nombre local de CHAP: WebUI Network > PPP > PPP Profile > Edit (nombre_perfil): Introduzca un nombre en el campo Local Name, luego haga clic en OK. CLI
set ppp profile nombre_perfil auth local-name nombre save

De forma predeterminada, cuando una autenticacin PPP est activada en la interfaz, la interfaz siempre desafa a su interlocutor y responde a los desafos del mismo. Puede configurar la interfaz para que no desafe a su interlocutor y responda nicamente cuando se le desafe (este comportamiento se denomina modo pasivo).

NOTA:

El modo pasivo nicamente funciona para el protocolo de autenticacin de establecimiento de conexin por desafo (CHAP). Para habilitar el modo pasivo: WebUI Network > PPP > PPP Profile > Edit (nombre_perfil): Seleccione Passive, luego haga clic en OK. CLI
set ppp profile nombre_perfil passive save

Protocolo de autenticacin de contrasea


El protocolo de autenticacin mediante contrasea (PAP) utiliza un establecimiento de conexin de dos vas y transmite los nombres y contraseas de la cuenta a travs de la conexin en texto no encriptado. Los sistemas, por lo general, utilizan PAP slo cuando no cuentan con otros protocolos de autenticacin en comn. Para establecer el protocolo de autenticacin en PAP: WebUI Network > PPP > Edit (nombre_perfil): Seleccione el tipo de autenticacin, luego haga clic en Apply. CLI
set ppp profile nombre_perfil auth type pap save

38

Encapsulado de la interfaz WAN

Captulo 1: Redes de rea extensa

Usuario de base de datos local


Si se utiliza CHAP o PAP en la conexin PPP, el dispositivo interlocutor enva su nombre de usuario y contrasea al dispositivo para autenticacin. El dispositivo compara el nombre de usuario y la contrasea recibidos con las entradas del tipo de usuario WAN configurado en la base de datos local. nicamente se puede conectar al dispositivo un interlocutor cuyo nombre de usuario y contrasea coincidan con una entrada en la base de datos local, para enviar o recibir datos. Para configurar un usuario WAN: WebUI Objects > Users > Local > New: Introduzca los siguientes datos y haga clic en OK:
WAN User: (seleccione) User Name: cadena_nombre User Password: cadena_contrasea Confirm Password: cadena_contrasea

CLI
set user cadena_nombre password cadena_contrasea set user cadena_nombre type wan save

NOTA:

Los usuarios de WAN nicamente se pueden configurar en una base de datos local.

Opciones de encapsulado de retransmisin de tramas


Esta seccin describe cmo configurar las opciones de encapsulado de retransmisin de tramas que estn disponibles en algunas interfaces WAN. Para configurar el MLFR, consulte Opciones de configuracin de retransmisin de tramas de conexin mltiple en la pgina 48.

NOTA:

Asegrese de que la opcin Main Link est seleccionada en la pgina Basic Properties de la interfaz WAN.

Mensajes de mantenimiento de conexin


Los paquetes de mantenimiento de conexin de retransmisin de tramas se implementan enviando los paquetes de la interfaz de administracin local (LMI). ScreenOS enva paquetes de mantenimiento de conexin LMI de forma predeterminada en una interfaz de retransmisin de tramas. Para las conexiones cruzadas de retransmisin de tramas, desactive el envo de mantenimientos de conexin en ambos lados de la conexin o configure un extremo de la conexin como DTE (la configuracin predeterminada de ScreenOS) y el otro como DCE.

Encapsulado de la interfaz WAN

39

Manual de referencia de ScreenOS: Conceptos y ejemplos

Si los mantenimientos de la conexin estn activados, el nmero de posibles configuraciones DLCI en una conexin multipunto o multicast est limitado por el tamao de MTU seleccionado para la interfaz. Para calcular el nmero de DLCI disponibles, utilice la siguiente frmula: (MTU 12) / 5 Para aumentar el nmero de DLCI posibles, desactive los paquetes de mantenimiento de conexin. Para desactivar el envo de mantenimientos de conexin en una interfaz fsica, utilice la WebUI o la CLI: WebUI Network > Interfaces > Edit (interfaz) > FR: Seleccione No-Keepalive, luego haga clic en Apply. CLI
set interface interfaz frame-relay lmi no-keepalive save

Tipo de LMI de retransmisin de tramas


ScreenOS enva LMI especificados de forma predeterminada por medio de ANSI T1.617 Anexo D. Para cambiar el tipo de LMI a ITU Q933 Anexo A: WebUI Network > Interfaces > Edit (Interfaz WAN) > FR: Seleccione ITU, luego haga clic en Apply. CLI
set interface interfaz frame-relay lmi type itu save

Puede configurar las siguientes opciones de mantenimiento de conexin de LMI de retransmisin de tramas:

Intervalo de sondeo del estado completo de DTE (indicado por la palabra clave n391-dte en CLI). El DTE enva una exploracin del estado al DCE en el intervalo especificado por el temporizador de sondeo DTE. El intervalo de sondeo especifica la frecuencia en la que estas exploraciones reciben un informe de estado completo; por ejemplo, un valor de 10 podra especificar un informe de estado completo en respuesta a cada dcima exploracin. Las exploraciones intermedias solicitan nicamente un intercambio de mantenimiento de conexin. Umbral de errores de DTE (indicado por la palabra clave n392-dte en CLI). El nmero de errores requerido para desactivar la conexin, dentro del recuento de eventos especificado por el recuento de eventos supervisados por DTE. Recuento de eventos supervisado por DTE (sealado por la palabra clave n393-dte en CLI). El rango es de 1 a 10, con un valor predeterminado de 4. Temporizador de mantenimiento de conexin de DTE (sealado por la palabra clave t391-dte en CLI). El periodo en el que el DTE enva una peticin de respuesta de mantenimiento de conexin al DCE y actualiza el estado en funcin del valor del umbral de errores de DTE.

40

Encapsulado de la interfaz WAN

Captulo 1: Redes de rea extensa

Para configurar las opciones LMI de retransmisin de tramas: WebUI Network > Interfaces > Edit (Interfaz WAN) > FR: Introduzca los valores correspondientes para las opciones LMI, luego haga clic en Apply. CLI
set interface interfaz frame-relay lmi opcin save

Creacin y configuracin de PVC


Dentro de una sola interfaz fsica de retransmisin de tramas puede crear varias interfaces virtuales de punto a punto, que son identificadas como subinterfaces. Cada subinterfaz se asigna a un circuito virtual permanente (PVC), que se identifica por medio de un identificador de conexin de datos (DLCI). Puede especificar nicamente un DLCI para cada subinterfaz. El DLCI es un valor entre 16 y 1022. (Se reservan los nmeros del 1 al 15). Puede optar por multiplexar varios PVC en una sola conexin fsica para transmisin a travs de una red conmutada de paquetes de retransmisin de tramas.

NOTA:

El valor de DLCI que especifica es el DLCI que su proveedor local ha asignado a su PVC. El nombre de la subinterfaz consta del nombre de interfaz fsica y un nmero de subinterfaz. Por ejemplo, si el nombre de la interfaz fsica es serial1/1, sus subinterfaces pueden ser serial1/1.1 y serial1/1.2.

NOTA:

En la WebUI, el nmero de subinterfaz se agrega automticamente cuando selecciona el nombre de la interfaz. En la CLI, debe introducir tanto el nombre de la interfaz como el nmero de subinterfaz. Tambin puede configurar la subinterfaz para funciones de administracin como la direccin IP de administracin, opciones de servicio y otras funciones. (Si desea ms informacin para configurar la IP de administracin y las opciones de servicio de una interez, consulte el Volumen 2: Fundamentos). La Figura 8 ilustra dos PVC de punto a punto configurados para la interfaz fsica serie1. Puede asociar cada PVC con una zona de seguridad distinta; la zona de seguridad para cada PVC puede ser distinta de la zona de seguridad asignada a la interfaz fsica.

Encapsulado de la interfaz WAN

41

Manual de referencia de ScreenOS: Conceptos y ejemplos

Figura 8: Subinterfaces de retransmisin de tramas de punto a punto


sitio A

DTE Conexin WAN

Red de retransmisin de tramas

sitio B

Para configurar una subinterfaz de retransmisin de tramas de punto a punto, cree la subinterfaz y asgnela a una zona de seguridad; luego asigne una DLCI de retransmisin de tramas y una direccin IP a la subinterfaz:

NOTA:

Puede asignar una subinterfaz a una zona de seguridad distinta de la que asign a la interfaz fsica. WebUI Network > Interface > New > WAN Sub-IF: Introduzca los siguientes datos y haga clic en OK:
Interface Name: interfaz (seleccione) Zone Name: (seleccione) Frame Relay DLCI: (introduzca nm_id) IP Address/Netmask: (introduzca dir_ip)

CLI
set interface subinterfaz zone zona set interface subinterfaz frame-relay dlci nm_id set interface subinterfaz ip dir_ip save

Protocolo de resolucin de direccin inversa


Las subinterfaces de retransmisin de tramas pueden admitir el protocolo de resolucin de direccin (ARP) inversa, segn se describe en RFC 2390, Protocolo de resolucin de direccin inversa. Cuando el ARP inverso est activado, el dispositivo responde a las peticiones de ARP inverso de retransmisin de tramas suministrando la informacin de direccin IP al dispositivo de peticin situado en el otro extremo del PVC de retransmisin de tramas. El dispositivo no inicia las peticiones de ARP inverso de retransmisin de tramas. El ARP inverso de retransmisin de tramas est desactivado de forma predeterminada. Para configurar un dispositivo para responder a las peticiones ARP de retransmisin de tramas: WebUI Network > Interface > Edit (subinterfaz): Seleccione Frame Relay Inverse ARP, luego haga clic en Apply. CLI
set interface subinterfaz frame-relay inverse-arp save

42

Encapsulado de la interfaz WAN

Captulo 1: Redes de rea extensa

Encapsulado de conexin mltiple


Esta seccin proporciona la siguiente informacin acerca del encapsulado de conexin mltiple en las interfaces WAN:

Vista general en esta pgina Configuracin bsica del grupo de conexin mltiple en la pgina 44 Opciones de configuracin PPP de conexin mltiple en la pgina 46 Opciones de configuracin de retransmisin de tramas de conexin mltiple en la pgina 48

Vista general
Las interfaces WAN admiten la retransmisin de tramas de conexin mltiple (MLFR) y el protocolo de punto a punto de conexin mltiple (MLPPP) para la interfaz de usuario a red (UNI), segn el Foro de retransmisin de tramas FRF.16, Acuerdo de implementacin de UNI de retransmisin de tramas de conexin mltiple/interfaz de red a red (NNI). Ambos tipos de encapsulado de conexin mltiple ofrecen una forma rentable de aumentar el ancho de banda para las aplicaciones mediante la activacin de varias conexiones fsicas que se agregarn a un grupo. Cada conexin fsica del grupo se denomina conexin de grupo. Por ejemplo, si una aplicacin requiere ms ancho de banda del que est disponible en una sola lnea T1, tiene dos opciones para aumentar el ancho de banda para utilizar la aplicacin:

Arriende una lnea T3 Agrupe varias conexiones T1

MLFR y MLPPP tambin proporcionan tolerancia de errores. Por ejemplo, cuando hay error en una sola conexin del grupo, el grupo contina admitiendo la retransmisin de tramas o los servicios PPP transmitiendo a travs de las conexiones de grupo restantes. MLFR y MLPPP tambin proporcionan equilibrio de carga a travs de las conexiones dentro de un grupo. Si una conexin de grupo que se eligi para transmisin est ocupada transmitiendo un paquete grande, otra conexin transmitir los datos.
Opciones del encapsulado de conexin mltiple
Conexiones mnimas Umbral de fragmento MRRU Tiempo de espera para descartar Reintentos de acuse de recibo Tiempo de acuse de recibo Temporizador de saludo

Tipo de encapsulado compatible


MLPPP y MLFR MLPPP y MLFR MLPPP MLPPP y MLFR MLFR MLFR MLFR

Encapsulado de conexin mltiple

43

Manual de referencia de ScreenOS: Conceptos y ejemplos

Configuracin bsica del grupo de conexin mltiple


Se obtiene acceso a un grupo a travs de una interfaz de conexin mltiple que crea usted. El nombre de la interfaz de conexin mltiple debe ser mlnm_id. Por ejemplo, los nombres de la interfaz de conexin mltiple pueden ser ml1, ml2 y as sucesivamente.

NOTA:

En la WebUI, nm_id se agrega automticamente cuando crea una nueva interfaz de conexin mltiple. En la CLI, debe especificar un valor de nm_id. De forma predeterminada, el tipo de encapsulado para nuevas interfaces de conexin mltiple es MLPPP. Debe configurar de manera explcita el encapsulado MLFR en las interfaces de conexin mltiple que son compatibles con retransmisin de tramas. Para crear una interfaz de conexin mltiple y configurarla para el encapsulado MLFR: WebUI Network > Interfaces > New > Multilink IF: Seleccione Multi-Link Frame Relay para el encapsulado WAN, luego haga clic en Apply. CLI
set interface interfaz encapsulation mlfr-uni-nni save

Identificador de grupo
El ID de grupo, segn se indica en FRF.16, asocia un punto final local y uno remoto con un grupo especfico. Todas las conexiones de grupo en el grupo ML deben utilizar el mismo ID de grupo, que puede ser de hasta 80 bytes. Si est configurando ms de un grupo entre dos dispositivos, cada ID de grupo debe ser nico. Por ejemplo, puede utilizar identificadores de nodo de red, nmeros de serie del sistema o direcciones de red para los ID de grupo. Si no configura un ID de grupo especfico para la interfaz de conexin mltiple, se utiliza el nombre de la interfaz de conexin mltiple (por ejemplo, ml1 o ml2). Para configurar una ID de grupo: WebUI Network > Interfaces > Edit (interfaz)> Basic: Introduzca el tipo de ML para el encapsulado WAN, luego haga clic en Apply. CLI
set interface interfaz bundle-id cadena_nombre save

44

Encapsulado de conexin mltiple

Captulo 1: Redes de rea extensa

Tiempo de espera para descartar


Puede configurar un valor de tiempo de espera para descartar paquetes y as proporcionar un mecanismo de recuperacin si las conexiones individuales del grupo de conexin mltiple descartan uno o ms paquetes. El tiempo de espera para descartar no es un ajuste de retardo-tolerancia diferencial y no limita la latencia general. Recomendamos ajustar un valor de tiempo de espera de descarte que sea significativamente mayor que el retraso diferencial esperado a travs de las conexiones; de esta manera, el periodo de tiempo de espera transcurre cuando hay una prdida real de paquetes y no bajo condiciones normales de inestabilidad. Para configurar el valor de tiempo de espera para descartar: WebUI Network > Interfaces > Edit (interfaz) > ML Encapsulation Type: Introduzca el nmero de milisegundos en Drop Timeout, luego haga clic en Apply. CLI
set interface interfaz drop-timeout milisegundos save

No recomendamos ajustes de menos de 5 milisegundos; cero (0) desactiva el tiempo de espera.

NOTA:

Para interfaces de conexin mltiple, un paquete o fragmento que encuentra una condicin de error en la red mientras se asocia a un grupo o conexin desactivada no contribuye al paquete descartado y al recuento de tramas en las estadsticas por grupo. ScreenOS cuenta el paquete bajo estadsticas de error globales pero no en los bytes de salida global o recuentos del paquete de salida. Esta situacin de recuento poco habitual sucede nicamente si las condiciones de error se generan dentro de la interfaz de conexin mltiple y no si el paquete encuentra errores en algn otro lugar de la red. El valor de conexiones mnimas puede ser entre 1 y 8. Si especifica 8, todas las conexiones configuradas de un grupo deben estar activas para que el grupo est activo.

Umbral de fragmentacin
Puede configurar un umbral de fragmentacin para establecer un tamao mximo para las cargas de paquetes transmitidos a travs de las conexiones individuales dentro del circuito de conexin mltiple. ScreenOS divide cualquier paquete entrante que supera el umbral de fragmentacin en unidades ms pequeas adecuadas para el tamao del circuito; reensambla los fragmentos en el otro extremo pero no afecta al flujo de trfico saliente. Para configurar el umbral de fragmentacin: WebUI Network > Interfaces > Edit (interfaz) > ML Encapsulation Type: Introduzca un valor para Bundle-link Fragmentation Threshold, luego haga clic en Apply.

Encapsulado de conexin mltiple

45

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
set interface interfaz mlfr-uni-nni fragment-threshold nmero save

De forma predeterminada, el umbral de fragmentacin es la MTU de la interfaz fsica. (Para las conexiones de grupo en serie, T1 y E1, el tamao predeterminado de la MTU es de 1500 bytes; para las conexiones de grupo T3, el tamao predeterminado de la MTU es de 4470 bytes.) El tamao de la fragmentacin mxima puede ser entre 128 y 16.20 bytes. Cualquier valor que establezca debe ser un mltiplo de 64 bytes (Nx64).

NOTA:

Para garantizar una carga equilibrada apropiada para las interfaces MLPPP WAN, no establezca ambos umbrales de fragmentacin y opciones de secuencia corta en la configuracin. Para las interfaces MLPPP, si la MTU de las conexiones en un grupo es menor que la MTU ms la carga de procesamiento del encapsulado, la fragmentacin se activa automticamente. Debe evitar esta situacin para las interfaces MLPPP WAN en las que est activada la secuencia corta. Para configurar un valor de umbral de fragmentacin: WebUI Network > Interfaces > Edit (interfaz) > ML Encapsulation Type: Introduzca un valor para Fragment Threshold, luego haga clic en Apply. CLI
set interface interfaz fragment-threshold bytes save

Conexiones mnimas
Puede establecer el nmero mnimo de conexiones que deben estar activas para que todo el grupo est activo. De forma predeterminada,para que el grupo se considere activo basta con que haya una sola conexin activa. Para establecer la cantidad mnima de conexiones en un grupo: WebUI Network > Interfaces > Edit (interfaz) > ML Encapsulation Type: Introduzca otro nmero en Minimum Links, luego haga clic en Apply. CLI
set interface interfaz minimum-links nmero save

Opciones de configuracin PPP de conexin mltiple Esta seccin explica las opciones de configuracin MLPPP adicionales, disponibles en algunas interfaces WAN.

46

Encapsulado de conexin mltiple

Captulo 1: Redes de rea extensa

Pasos bsicos de la configuracin


Para configurar MLPPP en una interfaz que es compatible con el encapsulado MLPPP: 1. Cree un grupo y configrelo para el encapsulado MLPPP. Asigne el grupo a una zona de seguridad. Tambin puede establecer otras opciones como una identificacin de grupo o la MTU para el grupo. 2. (Opcional) Configure las opciones de MLPPP para el grupo. Debe realizar este paso nicamente si tiene que cambiar las opciones MLPPP predeterminadas para el grupo. 3. Configure un perfil de acceso PPP y ascielo a la interfaz. Este paso es necesario incluso si no se utiliza ninguna autenticacin en la conexin de datos PPP. 4. (Opcional) Si se utiliza la autenticacin CHAP o PAP, configure el nombre de usuario y contrasea del intermediario en la base de datos local del dispositivo de seguridad. 5. Asigne las conexiones al grupo. 6. (Opcional) Configure las opciones PPP de cada conexin del grupo. Este paso se requiere solamente si tiene que cambiar las opciones PPP predeterminadas para la conexin.

Unidad reconstruida recibida mxima


La unidad reconstruida recibida mxima (MRRU) es similar a una unidad de transmisin mxima (MTU) y corresponde nicamente a grupos de conexin mltiple; es el tamao mximo del paquete que la interfaz de conexin mltiple puede procesar. La MRRU est establecida de forma predeterminada en 1500 bytes; puede configurar un valor de MRRU distinto si el equipo del interlocutor lo permite. La MRRU incluye la carga original ms el encabezado PPP de 2 bytes, pero no incluye el encabezado MLPPP adicional aplicado mientras los paquetes de conexin mltiple individuales estn atravesando conexiones separadas en el grupo. Para configurar una MRRU diferente: WebUI Network > Interfaces > Edit (interfaz) > MLPPP: Introduzca el nmero de bytes en Maximum Received Reconstructed Unit, luego haga clic en Apply. CLI
set interface interfaz mrru bytes save

Formato del encabezado de secuencia


El formato del encabezado de secuencia est en blanco y puede estar establecido en 12 o 24 bits, pero 24 bits se consideran el valor ms slido para la mayora de redes.

Encapsulado de conexin mltiple

47

Manual de referencia de ScreenOS: Conceptos y ejemplos

Para configurar un formato del encabezado de secuencia de 12 bits: WebUI Network > Interfaces > Edit (interfaz) > MLPPP: Seleccione Short-Sequence MLPPP Number, luego haga clic en Apply. CLI
set interface interfaz short-sequence save

Opciones de configuracin de retransmisin de tramas de conexin mltiple


Esta seccin explica las opciones de configuracin MLFR adicionales, disponibles en algunas interfaces WAN.

Pasos bsicos de la configuracin


Para configurar MLFR en una interfaz que es compatible con el encapsulado MLFR: 1. Cree un grupo y configrelo para el encapsulado MLFR. Asigne el grupo a una zona de seguridad. Tambin puede establecer otras opciones como una identificacin de grupo o la MTU para el grupo. 2. (Opcional) Configure las opciones de retransmisin de tramas para el grupo. Debe realizar este paso nicamente si tiene que cambiar las opciones de retransmisin de tramas predeterminadas para el grupo. 3. Asigne las conexiones al grupo. 4. (Opcional) Configure las opciones de MLFR para cada conexin del grupo. Debe realizar este paso nicamente si tiene que cambiar las opciones MLFR predeterminadas para la conexin. 5. Cree uno o ms PVC para el grupo y asigne a cada PVC un DLCI de retransmisin de tramas y una direccin IP. La Figura 9 muestra cmo MLFR permite agregar en un grupo varias conexiones de grupo T1.
Figura 9: Grupo de retransmisin de tramas de conexin mltiple
Grupo Interfaz de conexin mltiple Conexiones del grupo DTE DCE DCE DTE

Red de retransmisin de tramas

48

Encapsulado de conexin mltiple

Captulo 1: Redes de rea extensa

Las funciones de retransmisin de tramas se configuran en la interfaz de conexin mltiple y no en cada conexin del grupo. (Aunque las conexiones del grupo son visibles para el DTE del interlocutor y los dispositivos DCE, no son visibles para la capa de la conexin de datos de retransmisin de tramas). El dispositivo local y los dispositivos del interlocutor intercambian mensajes de control del protocolo de integridad de conexin (LIP) para determinar qu conexiones del grupo tienen capacidad de funcionamiento y para sincronizar qu conexiones del grupo se asocian con cada grupo. Para la administracin de las conexiones, cada extremo de la conexin del grupo sigue el MLFR LIP e intercambia mensajes de control de la conexin con su interlocutor en el otro extremo de la conexin del grupo. Para establecer una conexin de grupo, ambos extremos de la conexin deben completar un intercambio de mensajes ADD_LINK y ADD_LINK_ACK. Para mantener la conexin, ambos extremos intercambian con regularidad mensajes HELLO y HELLO_ACK. El intercambio de mensajes de saludo y acuses de recibo sirve como un mecanismo de mantenimiento de la conexin. Si un dispositivo enva un mensaje de saludo, pero no recibe un acuse de recibo, ste vuelve a enviar el mensaje de saludo hasta el nmero mximo de reintentos configurado. Si el dispositivo enva el nmero mximo de reintentos sin recibir un acuse de recibo, ScreenOS identifica la conexin del grupo como inactiva. ScreenOS establece la conexin del grupo cuando el dispositivo del interlocutor acusa recibo de que utilizar la conexin para el grupo. La conexin permanece activa cuando el dispositivo del interlocutor acusa recibo de los mensajes de saludo desde el dispositivo local. Cuando est activada la interfaz de administracin local (LMI), el estado de la conexin del grupo se considera activo cuando la capa de la conexin de datos de retransmisin de tramas en el dispositivo local y en el dispositivo del interlocutor se sincroniza mediante la LMI. La conexin del grupo permanece activa siempre que los paquetes de mantenimiento de conexin de LMI sean satisfactorios.

Asignacin de conexin para MLFR


Una interfaz MLFR puede ser DCE o DTE (la configuracin predeterminada de ScreenOS). El DTE acta como un maestro que solicita el estado de la parte de DCE de la conexin. Para las conexiones fsicas configuradas para encapsulado MLFR, cada punto final de la conexin en un grupo inicia una peticin para el funcionamiento del grupo con su interlocutor transmitiendo un mensaje para agregar una conexin. Un mensaje de saludo notifica al punto final del interlocutor de que el punto final local est activo. Ambos extremos de una conexin generan un mensaje de saludo con regularidad o de acuerdo con la configuracin del temporizador de saludo. Un mensaje para eliminar la conexin notifica al interlocutor de que la administracin final local est eliminando la conexin del funcionamiento del grupo. Los puntos finales responden a los mensajes para agregar conexin, eliminar conexin y de saludo al enviar mensajes de acuse de recibo.

Encapsulado de conexin mltiple

49

Manual de referencia de ScreenOS: Conceptos y ejemplos

Reintentos de acuse de recibo


Para las conexiones de grupo, puede configurar el nmero de intentos de retransmisin que se harn para los mensajes consecutivos de saludo o para eliminar conexin despus del vencimiento del temporizador de acuse de recibo. Para configurar los intentos de retransmisin: WebUI Network > Interfaces > Edit (interfaz) > MLFR: Introduzca un valor para Line Interface Protocol (LIP) Retransmission Count before Link-Down, luego haga clic en Apply. CLI
set interface interfaz mlfr-uni-nni acknowledge-retries nmero save

Temporizador de acuse de recibo


Puede configurar el periodo mximo permitido para esperar un acuse de recibo para agregar conexin, un acuse de recibo de saludo o un acuse de recibo para eliminar una conexin. Para configurar el tiempo de acuse de recibo: WebUI Network > Interfaces > Edit (interfaz) > MLFR: Introduzca un valor para Maximum Period to Wait for an Acknowledgement, luego haga clic en Apply. CLI
set interface interfaz mlfr-uni-nni acknowledge-timer segundos save

Temporizador de saludo
Para configurar la velocidad con la que se envan los mensajes de saludo: WebUI Network > Interfaces > Edit (interfaz) > MLFR: Introduzca un valor para LIP Hello Keepalive Interval, luego haga clic en Apply. CLI
set interface interfaz mlfr-uni-nni hello-timer segundos save

Se transmite un mensaje de saludo despus de que ha transcurrido el periodo especificado (en milisegundos). Cuando vence el temporizador de saludo, un punto final de la conexin genera un mensaje para agregar la conexin.

Ejemplos de configuracin de la interfaz WAN


Esta seccin proporciona los siguientes ejemplos de configuraciones WAN:

Configuracin de una interfaz serie en la pgina 51 Configuracin de una interfaz T1 en la pgina 52

50

Ejemplos de configuracin de la interfaz WAN

Captulo 1: Redes de rea extensa

Configuracin de una interfaz E1 en la pgina 53 Configuracin de una interfaz T3 en la pgina 53 Configuracin de una interfaz E3 en la pgina 54 Configuracin de un dispositivo para conectividad de RDSI en la pgina 54

Configuracin de una interfaz serie


Este ejemplo configura las propiedades WAN de una interfaz serie. Una vez que haya configurado las propiedades de la interfaz WAN, consulte Ejemplos de configuracin de encapsulado en la pgina 62 para configurar el encapsulado WAN. WebUI Network > Interfaces > Edit (serial6/0)> WAN: Seleccione los siguientes datos y haga clic en Apply:
Hold Time Clock Mode: Internal (seleccione) Clock Rate: 8,0 (seleccione) DTE Options Line Encoding: Non-Return-To-Zero (seleccione)

CLI
1. Configure la informacin del reloj

set interface serial6/0 serial-options clocking-mode internal set interface serial6/0 serial-options clock-rate 8.0
2. Establezca la codificacin de la lnea

set interface serial6/0 serial-options encoding nrz save

Ejemplos de configuracin de la interfaz WAN

51

Manual de referencia de ScreenOS: Conceptos y ejemplos

Configuracin de una interfaz T1


Este ejemplo configura las propiedades WAN de una interfaz T1. Una vez que haya configurado las propiedades de la interfaz WAN, consulte Ejemplos de configuracin de encapsulado en la pgina 62 para configurar el encapsulado WAN. WebUI Network > Interfaces > Edit (serial3/0)> WAN: Seleccione los siguientes datos y haga clic en Apply:
Hold Time Clock Mode: External (seleccione) T1 Options Line buildout: 0 - 132 (seleccione) Line Encoding: 8-bits Zero Suppression (seleccione) Byte Encoding: 8-bits por byte (seleccione) Frame Checksum: 16-bits (seleccione) Framing Mode: Extended Super Frame (seleccione) Transmitting Flag in Idle Cycles: 0x7E (seleccione) Start/End Flags on Transmission: Filler (seleccione) Invert Data: (elimine la seleccin)

CLI
1. Establezca la fuente de sincronizacin del reloj

set interface serial3/0 clocking external


2. Establezca el tendido de la lnea

set interface serial3/0 t1-options buildout 0-132


3. Establezca la codificacin de la lnea

set interface serial3/0 t1-option line-encoding b8zs unset interface serial3/0 t1-option invert-data
4. Establezca la codificacin de bytes

set interface serial3/0 t1-option byte-encoding nx56


5. Establezca las opciones de trama

set interface serial3/0 t1-options fcs 16 set interface serial3/0 t1-options framing esf
6. Establezca las opciones de indicador

set interface serial3/0 t1-options idle-cycle-flag flags set interface serial3/0 t1-options start-end-flag filler save

52

Ejemplos de configuracin de la interfaz WAN

Captulo 1: Redes de rea extensa

Configuracin de una interfaz E1


Este ejemplo configura las propiedades WAN de una interfaz E1. Una vez que haya configurado las propiedades de la interfaz WAN, consulte Ejemplos de configuracin de encapsulado en la pgina 62 para configurar el encapsulado WAN. WebUI Network > Interfaces > Edit (serial6/1)> WAN: Seleccione los siguientes datos y haga clic en Apply:
Hold Time Clock Mode: External (seleccione) E1 Options Frame Checksum: 16-bits (seleccione) Framing Mode: with CRC4 (seleccione) Transmitting Flag in Idle Cycles: 0x7E (seleccione) Start/End Flags on Transmission: Filler (seleccione) Invert Data: (elimine la seleccin) (Opcional) Time slots: 2-32

CLI
1. Establezca la fuente de sincronizacin del reloj

set interface serial6/1 clocking external


2. Establezca las opciones de trama

set interface serial6/1 e1-options fcs 16 set interface serial6/1 e1-options framing g704
3. Establezca los indicadores

set interface serial6/1 e1-options idle-cycle-flag flags set interface serial6/1 e1-options start-end-flag filler unset interface serial6/1 e1-options invert-data
4. (Opcional) Establezca las franjas de tiempo

set interface serial6/1 e1-options timeslots 2-32 save

Configuracin de una interfaz T3


Este ejemplo configura las propiedades WAN de una interfaz T3. Una vez que haya configurado las propiedades de la interfaz WAN, consulte Ejemplos de configuracin de encapsulado en la pgina 62 para configurar el encapsulado WAN. WebUI Network > Interfaces > Edit (serial4/0)> WAN: Seleccione los siguientes datos y haga clic en Apply:
Tiempo de espera Clock Mode: External (seleccione) T3 Options Frame Checksum: 16-bits (seleccione) Transmitting Flag in Idle Cycles: 0x7E (seleccione) Start/End Flags on Transmission: Filler (seleccione)

Ejemplos de configuracin de la interfaz WAN

53

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
1. Establezca la fuente de sincronizacin del reloj

set interface serial4/0 clocking external


2. Establezca la opcin de trama

set interface serial4/0 t3-options fcs 16


3. Establezca los indicadores

set interface serial4/0 t3-options idle-cycle-flag flags set interface serial4/0 t3-options start-end-flag filler save

Configuracin de una interfaz E3


Este ejemplo configura las propiedades WAN de una interfaz E3. Una vez que haya configurado las propiedades de la interfaz WAN, consulte Ejemplos de configuracin de encapsulado en la pgina 62 para configurar el encapsulado WAN. WebUI Network > Interfaces > Edit (serial4/0)> WAN: Seleccione los siguientes datos y haga clic en Apply:
Hold Time Clock Mode: External (seleccione) E3 Options Frame Checksum: 16-bits (seleccione) Transmitting Flag in Idle Cycles: 0x7E (seleccione) Start/End Flags on Transmission: Filler (seleccione)

CLI
1. Establezca la fuente de sincronizacin del reloj

set interface serial4/0 clocking external


2. Establezca la opcin de trama

set interface serial4/0 e3-options fcs 16


3. Establezca los indicadores

set interface serial4/0 e3-options idle-cycle-flag flags set interface serial4/0 e3-options start-end-flag filler save

Configuracin de un dispositivo para conectividad de RDSI


Los siguientes pasos resumen la configuracin mnima necesaria para configurar su dispositivo para RDSI usando las opciones predeterminadas:
Pasos de la configuracin
1. Seleccione el tipo de conmutador RDSI. 2. Configure un perfil PPP. 3. Configure la interfaz RDSI (BRI). 4. Enrutamiento del trfico a travs de RDSI BRI.

Consulte
pgina 55 pgina 55 pgina 55 pgina 61

54

Ejemplos de configuracin de la interfaz WAN

Captulo 1: Redes de rea extensa

Paso 1: Seleccin del tipo de conmutador RDSI


La configuracin mnima de RDSI es la seleccin del tipo de conmutador RDSI al que est conectado su dispositivo. Para obtener ms informacin sobre otras opciones RDSI, consulte Opciones de RDSI en la pgina 25. WebUI Network > Interfaces > List > Edit (bri): Seleccione WAN y el valor de la opcin correspondiente, luego haga clic en Apply.
Switch type after Reboot: etsi

CLI
set in bri0/0 isdn switch-type etsi

Utilice el comando get int bri2/0 isdn para visualizar la configuracin de pila de RDSI.

Paso 2: Configuracin de un perfil PPP


Configure un perfil PPP con base en una direccin IP esttica o dinmica. WebUI Network > PPP > PPP Profile > New: Introduzca el valor de la opcin correspondiente, luego haga clic en OK.
PPP Profile: isdn-ppp Authentication: CHAP Passive: Check Local Name: 169 Password: 169

CLI
set set set set set ppp ppp ppp ppp ppp profile isdn-ppp profile isdn-ppp auth local-name 169 profile isdn-ppp auth secret 169 profile isdn-ppp auth type chap profile isdn-ppp passive

Paso 3: Configuracin de la interfaz RDSI BRI


Esta seccin describe los tres mtodos para configurar RDSI BRI para la compatibilidad de RDSI:
Configuracin de RDSI BRI
Uso de RDSI BRI como marcador Uso de la interfaz de marcador para obtener acceso telefnico Uso del modo de lnea arrendada

Consulte
Acceso telefnico a un solo destino en la pgina 56 Acceso telefnico utilizando la interfaz de marcador en la pgina 56 Uso del modo de lnea arrendada en la pgina 60

Consulte las secciones respectivas para obtener ejemplos sobre la configuracin de su dispositivo para compatibilidad de RDSI.

Ejemplos de configuracin de la interfaz WAN

55

Manual de referencia de ScreenOS: Conceptos y ejemplos

Acceso telefnico a un solo destino


En este ejemplo, se configura la interfaz RDSI (BRI) como el marcador para conectar los puntos finales de la sucursal (consulte la Figura 2 en la pgina 6) a las oficinas centrales corporativas. Establezca esta configuracin si desea obtener acceso telefnico a un solo destino cuando tiene trfico intermitente entre los dos sitios. La conexin se desactiva cuando no hay trfico. La sucursal A en la red 10.1.1.1 obtiene acceso telefnico a una sucursal B en la red 10.2.2.2/16 o a las oficinas centrales corporativas en la red 11.0.0.0/16 a travs de la interfaz bri0/0. WebUI Network > Interfaces > List > Edit (bri): Seleccione Basic y el valor de la opcin correspondiente, luego haga clic en Apply:
BRI Mode: Dial Using BRI Dialer Enable Options Primary Number: 16900 WAN Encapsulation: PPP

Haga clic en Apply


Binding a PPP Profile: isdn-ppp

CLI
set set set set in bri0/0 dialer-enable in bri0/0 encap ppp in bri0/0 ppp profile isdn-ppp in bri0/0 primary-number 16900

Acceso telefnico utilizando la interfaz de marcador


En este ejemplo, se obtiene acceso telefnico utilizando la interfaz de marcador. Utilice este mtodo para obtener acceso telefnico a varios destinos, cuando el nmero de destinos supera el nmero de lneas fsicas disponibles. Esta configuracin es compatible con el enrutamiento de acceso telefnico a demanda (DDR) y el ancho de banda a demanda. El conjunto de marcadores utiliza la BRI de RDSI usando interlocutores de acceso telefnico lgico por medio de las interfaces del marcador. De este modo, se separan las conexiones fsicas reales de todos los destinos potenciales. Cuando el nmero de destinos supera el nmero de lneas fsicas disponibles, se puede configurar una interfaz fsica como miembro de un conjunto de marcadores. La interfaz fsica tambin puede pertenecer a ms de un conjunto, lo que permite que una sola lnea se utilice para obtener acceso telefnico a ms de un destino. La Figura 10 ilustra las relaciones entre la interfaz de marcador, el conjunto de marcadores y la BRI de RDSI.

56

Ejemplos de configuracin de la interfaz WAN

Captulo 1: Redes de rea extensa

Figura 10: Acceso telefnico utilizando la interfaz de marcador


Dispositivo de seguridad

marcador1 grupo-1 bri1/0 bri2/0

marcador10 grupo-10 bri1/0

De forma predeterminada, las RDSI BRI no estn en ningn conjunto de marcadores. Adems, cada RDSI BRI se puede agregar a varios conjuntos de marcador. La siguiente seccin proporciona instrucciones detalladas sobre cmo configurar marcador1 y marcador10 como se indica en la Figura 10 en la pgina 57 utilizando la WebUI y CLI. Al final de la configuracin, dos estaciones en la sucursal A (consulte la Figura 2 en la pgina 6) pueden conectarse a la sucursal B utilizando la interfaz de marcador, marcador1. Al mismo tiempo, otra estacin de la sucursal A puede obtener acceso telefnico a las oficinas centrales utilizando el marcador10. 1. Configure las interfaces marcador1 y marcador10. a. b. Cree y configure las interfaces de marcador. Asocie el perfile PPP (isdn-ppp) a las interfaces de marcador.

2. Configure los conjuntos del marcador, conjunto-1 y conjunto-10. a. b. Cree los dos conjuntos del marcador. Asocie los conjuntos del marcador a las interfaces de marcador respectivas. Asocie conjunto-1 a marcador1 y conjunto-10 a marcador10.

3. Agregue la interfaz RDSI (BRI) al conjunto de marcadores. Agregue bri1/0 y bri2/0 al conjunto-1 de marcador. Agregue bri1/0 al conjunto-10 de marcador. Para establecer otras opciones BRI, consulte Modo BRI en la pgina 28.

Ejemplos de configuracin de la interfaz WAN

57

Manual de referencia de ScreenOS: Conceptos y ejemplos

WebUI
1. Configuracin de la interfaz de marcador1

Network > Interface > List > New > Dialer IF: Introduzca los siguientes datos y haga clic en OK:
Interface Name: marcador1 Primary Number: 16900 WAN Encapsulation: Multi-link PPP Zone Name: Untrust MTU: 1500

Haga clic en Apply


Binding a PPP Profile: isdn-ppp

Network > Interfaces > List > Edit (marcador1) > Dialer Pool: Introduzca el valor de la opcin correspondiente, luego haga clic en Apply:
Dialer pool: grupo-1

Haga clic en Add. Network > Interfaces > List > Edit (bri1/0): Seleccione Basic e introduzca el valor de la opcin correspondiente, luego haga clic en Apply:
BRI Mode: Leased Line Mode(128kbps): anule la seleccin Dial Using BRI: anule la seleccin

Seleccione Dialer Pool e introduzca el valor de la opcin correspondiente, luego haga clic en Apply. Establezca la prioridad para grupo-1 y marque la casilla Select as Member.
Priority: 1 Select as Member: Check

Network > Interfaces > List > Edit (bri2/0): Seleccione Basic e introduzca el valor de la opcin correspondiente, luego haga clic en Apply:
BRI Mode: Leased Line Mode(128kbps): anule la seleccin Dial Using BRI: anule la seleccin

Seleccione Dialer Pool e introduzca el valor de la opcin correspondiente, luego haga clic en Apply. Establezca la prioridad para el grupo-1 y revise la casilla Select as Member.
Priority: 1 Select as Member: Check

58

Ejemplos de configuracin de la interfaz WAN

Captulo 1: Redes de rea extensa

2.

Configuracin de la interfaz de marcador10

Network > Interface > List > New > Dialer IF: Introduzca los siguientes datos y haga clic en OK:
Interface Name: marcador10 Primary Number: 16900 WAN Encapsulation: Multi-link PPP Zone Name: Untrust MTU: 1500

Haga clic en Apply.


Binding a PPP Profile: isdn-ppp

Network > Interfaces > List > Edit (marcador10) > Dialer Pool: Introduzca el valor de la opcin correspondiente, luego haga clic en Apply.
Dialer pool: grupo-10

Haga clic en Add. Network > Interfaces > List > Edit (bri1/0): Seleccione Basic e introduzca el valor de la opcin correspondiente, luego haga clic en Apply:
BRI Mode: Leased Line Mode(128kbps): anule la seleccin Dial Using BRI: anule la seleccin

Seleccione Dialer Pool e introduzca el valor de la opcin correspondiente, luego haga clic en Apply. Establezca la prioridad para grupo-10 y marque la casilla Select as Member.
Priority: 1 Select as Member: seleccione

CLI
1. Configuracin de la interfaz de marcador1

set interface marcador1 zone Untrust set interface marcador1 primary-number 16900 set interface marcador1 encap mlppp set interface marcador1 mtu 1500 set interface marcador1 ppp profile isdn-ppp set dialer pool name grupo-1 set interface marcador1 dialer-pool grupo-1 set dialer pool grupo-1 member-interface bri2/0 priority 1

Ejemplos de configuracin de la interfaz WAN

59

Manual de referencia de ScreenOS: Conceptos y ejemplos

2.

Configuracin de la interfaz marcador10

set interface marcador10 zone Untrust set interface marcador10 primary-number 16900 set interface marcador10 encap mlppp set interface marcador10 mtu 1500 set interface marcador10 ppp profile isdn-ppp set dialer pool name grupo-1 set interface marcador10 dialer-pool grupo-10 set dialer pool grupo-10 member-interface bri1/0 priority 1

Como se indica en la Figura 2 en la pgina 6, dos estaciones de la sucursal A se pueden conectar a la sucursal B utilizando la interfaz marcador1. Al mismo tiempo, otra estacin de la sucursal A puede obtener acceso telefnico a las oficinas centrales utilizando el marcador10.

Uso del modo de lnea arrendada


En este ejemplo, se establece la conectividad de RDSI utilizando una lnea arrendada. Si la BRI est configurada para modo de lnea arrendada, se convierte en una interfaz de capa 3 que nicamente puede distribuir datos, por lo que el canal D no es necesario. nicamente se admite un canal (B+B) con una velocidad total de datos de 128 Kbps. No es necesario utilizar el marcado Q931 para configurar un canal. Para obtener ms informacin sobre los protocolos Q931 y Q921, consulte el manual ScreenOS CLI Reference Guide: IPv4 Command Descriptions. Utilice este mtodo de configuracin para conectar dos sitios con una conexin de alta velocidad fiable y econmica. WebUI Network > Interfaces > List > Edit (bri): Seleccione Basic y el valor de la opcin correspondiente, luego haga clic en OK:
BRI Mode: Lnea arrendada WAN Encapsulation: PPP

Haga clic en Apply.


Binding a PPP Profile: isdn-ppp

CLI
set in bri0/0 isdn leased-line 128kbps set in bri0/0 encap ppp set in bri0/0 ppp profile isdn-ppp

60

Ejemplos de configuracin de la interfaz WAN

Captulo 1: Redes de rea extensa

Paso 4: Enrutamiento de trfico al destino


Configure el siguiente dispositivo de seguridad de la sucursal A para enrutar el trfico a travs de la interfaz RDSI (BRI) y la interfaz de marcador. WebUI Network > Routing > Destination > New: Seleccione el valor de la opcin correspondiente y haga clic en OK:
IP Address/Netmask: 10.2.2.2/16 Next Hop: Gateway Interface: bri1/0

Network > Routing > Destination > New: Seleccione el valor de la opcin correspondiente y haga clic en OK
IP Address/Netmask: 11.0.0.0/16 Next Hop: Gateway Interface: bri1/0

Network > Routing > Destination > New: Seleccione el valor de la opcin correspondiente y haga clic en OK:
IP Address/Netmask: 10.2.2.2/16 Next Hop: Gateway Interface: bri2/0

Network > Routing > Destination > New: Seleccione el valor de la opcin correspondiente y haga clic en OK:
IP Address/Netmask: 11.0.0.0/16 Next Hop: Gateway Interface: bri2/0

CLI
set set set set route route route route 10.2.2.2/16 interface 10.2.2.2/16 interface 11.0.0.0/16 interface 11.0.0.0/16 interface bri1/0 bri2/0 bri1/0 bri2/0

WebUI Network > Routing > Destination > New: Seleccione el valor de la opcin correspondiente y haga clic en OK:
IP Address/Netmask: 10.2.2.2/16 Next Hop: Gateway Interface: marcador1

Network > Routing > Destination > New: Seleccione el valor de la opcin correspondiente y haga clic en OK:
IP Address/Netmask: 11.0.0.0/16 Next Hop: Gateway Interface: marcador1

Ejemplos de configuracin de la interfaz WAN

61

Manual de referencia de ScreenOS: Conceptos y ejemplos

Network > Routing > Destination > New: Seleccione el valor de la opcin correspondiente y haga clic en OK:
IP Address/Netmask: 10.2.2.2/16 Next Hop: Gateway Interface: marcador10

Network > Routing > Destination > New: Seleccione el valor de la opcin correspondiente y haga clic en OK:
IP Address/Netmask: 11.0.0.0/16 Next Hop: Gateway Interface: marcador10

CLI
set route 10.2.2.2/16 interface marcador1 set route 11.0.0.0/16 interface marcador1 set route 10.2.2.2/16 interface marcador10 set route 11.0.0.0/16 interface marcador10

Dos estaciones de la sucursal A se pueden conectar a la sucursal B utilizando la interfaz marcador1. Al mismo tiempo, otra estacin de la sucursal A puede obtener acceso telefnico a las oficinas centrales utilizando el marcador10.

Ejemplos de configuracin de encapsulado


Esta seccin proporciona los siguientes ejemplos de encapsulado WAN:

Configuracin del encapsulado PPP en la pgina 63 Configuracin del encapsulado MLPPP en la pgina 64 Configuracin del encapsulado de retransmisin de tramas en la pgina 65 Configuracin del encapsulado MLFR en la pgina 66 Configuracin del encapsulado HDLC de Cisco en la pgina 67

NOTA:

Configure las propiedades de la interfaz WAN antes de configurar la informacin del encapsulado.

62

Ejemplos de configuracin de encapsulado

Captulo 1: Redes de rea extensa

Configuracin del encapsulado PPP


Este ejemplo muestra la configuracin bsica del encapsulado PPP. WebUI
1. Establezca el perfil de acceso de PPP

Network > PPP > Edit > New: Introduzca los siguientes datos y haga clic en Apply:
PPP Profile: juniper1 Authentication: CHAP (seleccione) Static IP: (seleccione) Local Name: cortafuegos-local Password: abcd1234#B
2. Establezca la informacin del usuario

Objects > User > Local > New: Introduzca los siguientes datos y haga clic en Apply:
User Name: enrutador WAN User: (seleccione) Authentication User: (seleccione) User Password: abcd1234#C Confirm Password: abcd1234#C
3. Asigne a la interfaz WAN el perfil de acceso juniper1

Network > Interfaces > List > Edit (serial2/0): Seleccione los siguientes datos y haga clic en Apply:
WAN Encapsulation: PPP (seleccione) Binding a PPP Profile: juniper1 (seleccione) Zone Name: untrust (seleccione) Fixed IP: (seleccione) IP Address/Netmask: 192.168.100.1/24 Manageable: (seleccione)

CLI
1. Establezca el perfil de acceso de PPP

set set set set


2.

ppp profile juniper1 ppp profile juniper1 ppp profile juniper1 ppp profile juniper1

auth type chap auth local-name cortafuegos-local auth secret abcd1234#B static-ip

Establezca la informacin del usuario

set user router password abcd1234#C set user router type wan
3. Asigne a la interfaz WAN el perfil de acceso juniper1

set interface serial2/0 untrust zone set interface serial2/0 encap ppp set interface serial2/0 ppp profile juniper1 set interface serial2/0 ip 192.168.100.1/24 set interface serial2/0 manage save

Ejemplos de configuracin de encapsulado

63

Manual de referencia de ScreenOS: Conceptos y ejemplos

Configuracin del encapsulado MLPPP


Este ejemplo muestra la configuracin bsica del encapsulado MLPPP. WebUI
1. Establezca el perfil de acceso de PPP

Network > PPP > Edit > New: Introduzca los siguientes datos y haga clic en Apply:
PPP Profile: juniper-mlppp Authentication: CHAP (seleccione) Static IP: (seleccione) Local Name: cortafuegos-local Password: abcd1234
2. Establezca la informacin del usuario

Objects > User > Local > New: Introduzca los siguientes datos y haga clic en Apply:
User Name: enrutador WAN User: (seleccione) Authentication User: (seleccione) User Password: abcd1234 Confirm Password: abcd1234
3. Establezca la interfaz de conexin mltiple

Network > Interfaces > List > New Multilink IF: Introduzca los siguientes datos y haga clic en Apply:
Interface Name: ML.1 WAN Encapsulation: Multi-Link PPP (seleccione) Zone Name: Untrust (seleccione)

Edit (ml1 interface): Introduzca los siguientes datos y haga clic en Apply:
Binding a PPP Profile: juniper-mlppp (seleccione) Fixed IP: (seleccione) IP Address/Netmask: 192.168.100.1/24 Manageable: (elimine la seleccin) Service Options: Other Services: ping (seleccione)
4. Establezca las interfaces WAN en el grupo de multiconexin

Network > Interfaces > List > Edit (serial1/0): Seleccione Member link options, opcin ml1 Multilink Interface, luego haga clic en Apply. Network > Interfaces > List > Edit (serial2/0): Seleccione Member link options, opcin ml1 Multilink Interface, luego haga clic en Apply. CLI
1. Establezca el perfil de acceso de PPP

set set set set

ppp profile juniper-mlppp auth type chap ppp profile juniper-mlppp auth local-name cortafuegos-local ppp profile juniper-mlppp auth secret abcd1234 ppp profile juniper-mlppp static-ip

64

Ejemplos de configuracin de encapsulado

Captulo 1: Redes de rea extensa

2.

Establezca la informacin del usuario

set user router password abcd1234 set user router type wan
3. Establezca la interfaz de conexin mltiple

set interface ml1 zone untrust set interface ml1 encap mlppp set interface ml1 ppp profile juniper-mlppp
4. Establezca las interfaces WAN en el grupo multiconexin

set interface serial1/0 bundle ml1 set interface serial2/0 bundle ml1 set interface ml1 ip 192.168.100.1/24 set interface ml1 manage ping save

Configuracin del encapsulado de retransmisin de tramas


Este ejemplo muestra la configuracin bsica del encapsulado de retransmisin de tramas. WebUI
1. Establezca el encapsulado de retransmisin de tramas

Network > Interfaces > List > Edit (serial2/0): Para el encapsulado WAN, seleccione Frame Relay y luego haga clic en Apply: Edit (serial2/0) > FR: Seleccione el tipo de ITU y haga clic en Apply.
2. Establezca el PVC

Network > Interfaces > List > New WAN Sub-IF: Introduzca los siguientes datos y haga clic en Apply:
Interface Name: serial2/0 (seleccione) .1 Zone Name: Untrust (seleccione) Frame Relay DLCI: 200 Fixed IP: (seleccione) IP Address/Netmask: 192.168.100.1/24 Manageable: (elimine la seleccin) Service Options: Other Services: ping (seleccione) NOTA:

El valor de DLCI que especifica es el DLCI que su proveedor local ha asignado a su PVC. CLI
1. Establezca el encapsulado de retransmisin de tramas

set interface serial2/0 encap frame-relay set interface serial2/0 frame-relay lmi type itu

Ejemplos de configuracin de encapsulado

65

Manual de referencia de ScreenOS: Conceptos y ejemplos

2.

Establezca el PVC

set interface serial2/0.1 zone untrust set interface serial2/0.1 frame-relay dlci 200 set interface serial2/0.1 ip 192.168.100.1/24 set interface serial2/0.1 manage ping save

Configuracin del encapsulado MLFR


Este ejemplo muestra la configuracin bsica del encapsulado de retransmisin de tramas de conexin mltiple (MLFR). WebUI
1. Create the Multilink Interface

Network > Interfaces > List > New Multilink IF: Introduzca los siguientes datos y haga clic en Apply:
Interface Name: ML 1 WAN Encapsulation: Multi-Link FR (seleccione) Zone Name: Untrust (seleccione)

Network > Interfaces > List > Edit (serial2/0): Para el encapsulado WAN, seleccione Frame Relay y luego haga clic en Apply: Edit (serial2/0) > FR: Seleccione el tipo de ITU y haga clic en Apply.
2. Establezca las interfaces WAN en un grupo

Network > Interfaces > List > Edit (serial1/0): Seleccione Member link options, opcin ml1 Multilink Interface, luego haga clic en Apply. Network > Interfaces > List > Edit (serial2/0): Seleccione Member link options, opcin ml1 Multilink Interface, luego haga clic en Apply.
3. Establezca el PVC de grupo

Network > Interfaces > List > New WAN Sub-IF: Introduzca los siguientes datos y haga clic en Apply:
Interface Name: ml (seleccione).1 Zone Name: Untrust (seleccione) Frame Relay DLCI: 200 Frame Relay Inverse ARP: (seleccione) Fixed IP: (seleccione) IP Address/Netmask: 192.168.100.1/24 Manageable: (elimine la seleccin) Service Options: Other Services: ping (seleccione) NOTA:

El valor de DLCI que especifica es el DLCI que su proveedor local ha asignado a su PVC.

66

Ejemplos de configuracin de encapsulado

Captulo 1: Redes de rea extensa

CLI
1. Creee la interfaz de conexin mltiple

set interface ml1 zone untrust set interface ml1 encap mlfr-uni-nni set interface ml1 frame-relay lmi type itu
2. Establezca las interfaces WAN en un grupo

set interface serial1/0 bundle ml1 set interface serial2/0 bundle ml1
3. Establezca el PVC de grupo

set interface ml1.1 zone untrust set interface ml1.1 frame-relay dlci 200 set interface ml1.1 frame-relay inverse-arp set interface ml1.1 ip 192.168.100.1/24 set interface ml1.1 manage ping save

Configuracin del encapsulado HDLC de Cisco


Este ejemplo muestra la configuracin bsica del encapsulado HDLC de Cisco. WebUI Dispositivo A Network > Interfaces > List > Edit (serial2/0): Introduzca los siguientes datos y haga clic en Apply:
WAN Encapsulation: Cisco HDLC (seleccione) Zone Name: Trust (seleccione) Fixed IP: (seleccione) IP Address/Netmask: 192.168.3.1/24

Dispositivo B Network > Interfaces > List > Edit (serial2/0): Introduzca los siguientes datos y haga clic en Apply:
WAN Encapsulation: Cisco HDLC (seleccione) Zone Name: Trust (seleccione) Fixed IP: (seleccione) IP Address/Netmask: 192.168.3.2/24

CLI Dispositivo A
1. Asocie la interfaz WAN a una zona de seguridad

set interface serial2/0 zone trust


2. Establezca el tipo de encapsulado

set interface serial2/0 encap cisco-hdlc


3. Establezca la direccin IP de la interfaz

set interface serial2/0 ip 192.168.3.1/24 save

Ejemplos de configuracin de encapsulado

67

Manual de referencia de ScreenOS: Conceptos y ejemplos

Dispositivo B
1. Asocie la interfaz WAN a una zona de seguridad

set interface serial2/0 zone trust


2. Establezca el tipo de encapsulado

set interface serial2/0 encap cisco-hdlc


3. Establezca la direccin IP de la interfaz

set interface serial2/0 ip 192.168.3.2/24 save

68

Ejemplos de configuracin de encapsulado

Captulo 2

Lnea de abonado digital


ScreenOS le permite configurar las conexiones de la lnea asimtrica de abonado digital (ADSL) y lnea de alta velocidad de abonado digital G.symmetric (G.SHDSL) con la red privada virtual de Seguridad del protocolo de Internet (IPSec VPN) integrada y servicios de cortafuegos para un teletrabajador de banda ancha, sucursales o establecimientos minoristas. Esta seccin describe las interfaces de DSL disponibles y proporciona configuraciones de ejemplo. Las velocidades de transmisin de datos disponibles dependen del tipo de servicio DSL que su proveedor de servicio le brinde. La mayora de proveedores de servicio ofrecen distintos niveles de velocidad: las transmisiones de alta velocidad tienen un precio ms elevado que las transmisiones de baja velocidad.

NOTA:

Para obtener informacin acerca de la configuracin de las caractersticas IPSec VPN y cortafuegos en los dispositivos de seguridad, consulte el Volume 5: Virtual Private Networks. Este captulo consta de las siguientes secciones:

Vista general de la lnea de abonado digital en esta pgina Interfaz ADSL en la pgina 78 Interfaz G.SHDSL en la pgina 79 Ejemplos de configuracin de ADSL en la pgina 81

Vista general de la lnea de abonado digital


Las lneas telefnicas tradicionales utilizan seales analgicas para transmitir el servicio de voz a travs de pares de cables de cobre trenzados. Sin embargo, la transmisin analgica utiliza nicamente una pequea parte del ancho de banda disponible. La transmisin digital permite que el proveedor de servicios utilice un ancho de banda mayor en los mismos medios. El proveedor de servicios puede separar las transmisiones analgicas de las digitales, utilizando nicamente una pequea parte del ancho de banda disponible para transmitir voz. Esta separacin permite que se utilice un telfono y un equipo a la vez en la misma lnea. En la sede central del proveedor de servicios, el multiplexador de acceso de DSL (DSLAM) conecta varias lneas DSL a una red de alta velocidad como una red de Modo de transferencia asncrona (ATM).

Vista general de la lnea de abonado digital

69

Manual de referencia de ScreenOS: Conceptos y ejemplos

La informacin que configura para la interfaz DSL debe ser compatible con la configuracin de DSLAM de su conexin de DSL, por lo que debe obtener la siguiente informacin con su proveedor de servicios antes de configurar la interfaz:

Identificador de ruta virtual e identificador del canal virtual (VPI/VCI), que identifica el VC en DSLAM. Mtodo de encapsulado de ATM. ScreenOS admite los siguientes encapsulados ATM para las interfaces DSL:

Multiplexado basado en el circuito virtual (VC), en el que cada protocolo se transporta a travs de un VC ATM independiente. Control de enlaces lgico (LLC), que permite llevar varios protocolos en el mismo VC de ATM. ste es el modo de encapsulado predeterminado.

NOTA:

Pregunte a su proveedor de servicios cul es el tipo de multiplexado que se utiliza en la conexin DSL.

El protocolo de punto a punto (PPP) es un protocolo estndar para transmitir paquetes IP a travs de vnculos serie de punto a punto, como un circuito virtual permanente (PVC) de ATM. ScreenOS admite los siguientes mtodos para transportar los paquetes de PPP:

PPP a travs de Ethernet (PPPoE). RFC 2516 describe el encapsulado de paquetes PPP a travs de Ethernet. Para obtener ms informacin acerca de PPoE, consulte Parmetros del sistema en la pgina 2-219. PPP a travs de ATM (PPPoA). RFC 1483 describe el encapsulado del trfico de red a travs de ATM. Para obtener ms informacin acerca de PPoA, consulte Protocolo punto a punto a travs de ATM en la pgina 72.

NOTA:

Si la red del proveedor de servicios utiliza PPPoE o PPPoA, el proveedor de servicios tiene que proporcionar el nombre de usuario y contrasea para poder conectarse, el mtodo de autenticacin utilizado y cualquier otro parmetro especfico del protocolo.

El proveedor de servicios puede proporcionar a la red una direccin IP esttica o un rango de direcciones IP. El proveedor de servicios tambin debe proporcionar la direccin del servidor del sistema de nombres de dominio (DNS) para utilizarla con la resolucin de direccin y nombre de DNS.

Modo de transferencia asncrona


Las interfaces DSL utilizan ATM como su Capa de transporte. Hay dos tipos de circuitos virtuales (VC) ATM: Los circuitos virtuales conmutados (SVC) son conexiones lgicas y temporales de la red que se crean y se mantienen para sesiones individuales de transferencia de datos, mientras que los circuitos virtuales permanentes (PVC) son conexiones lgicas disponibles continuamente en la red. Las interfaces DSL admiten mltiples PVC en una sola lnea fsica.

70

Vista general de la lnea de abonado digital

Captulo 2: Lnea de abonado digital

Para establecer PVC en su lnea fsica: WebUI Network > Interfaces > Edit (interfaz adsl o shdsl): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust (seleccionado) VPI/VCI: 8/35 Multiplexing Method: LLC (seleccionado) RFC1483 Protocol Mode: Bridged (seleccionado)

CLI
set interface interfaz pvc 8 35 mux llc protocol bridge zone untrust save

Calidad de servicio ATM


La calidad de servicio (QoS) de ATM conforma el trfico de ATM que transmite el usuario y limita la velocidad de transmisin. La QoS de ATM tiene muchos beneficios:

Asegura que el trfico de un VC no consuma todo el ancho de banda de una interfaz, afectando adversamente a otros VC y provocando la prdida de datos. Controla el acceso del ancho de banda cuando la directiva indica que la velocidad de un VC determinado en promedio no exceda una velocidad determinada. Compara la velocidad de transmisin de la interfaz local con la velocidad de una interfaz objetivo remota. Por ejemplo, suponga que un extremo de una conexin transmite a 256 Kbps y el otro extremo transmite a 128 Kbps. Si no se cuenta con una canalizacin uniforme de extremo a extremo, puede suceder que un conmutador intermedio descarte algunos paquetes en el extremo de menor velocidad, lo que afectara a las aplicaciones que utilizan la conexin.

Juniper Networks es compatible con tres servicios QoS de ATM en ADSL mini-PIM:

Velocidad constante de bits (CBR): Un servicio que a menudo se utiliza al transmitir vdeos no comprimidos a una velocidad fija. Velocidad de bits no especificada (UBR): Un servicio que generalmente se utiliza al transmitir datos que pueden tolerar los retardos. Velocidad variable de bits en tiempo no real (VBR-NRT): Un servicio que por lo general se utiliza al transmitir datos de vdeo y voz empaquetados y comprimidos, tales como la vdeoconferencia.

Vista general de la lnea de abonado digital

71

Manual de referencia de ScreenOS: Conceptos y ejemplos

Para establecer la QoS de ATM: WebUI Network > Interfaces > Edit (interfaz adsl): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust (seleccionado) VPI/VCI: 8/35 QoS: UBR (seleccionado) RFC1483 Protocol Mode: Bridged (seleccionado)

CLI
set interface adsl1/0 qos ubr save

Protocolo punto a punto a travs de ATM


El protocolo de punto a punto a travs de ATM (PPPoA) normalmente se utiliza para sesiones PPP que finalizarn en un dispositivo de seguridad con una interfaz DSL. PPPoA se utiliza principalmente para servicios empresariales y no requiere de un cliente de escritorio. A continuacin se incluyen los parmetros de configuracin para una instancia de cliente PPPoA:

Nombre de usuario y contrasea para la conexin PPPoA. Interfaz a la que est asociada la instancia PPPoA (la interfaz o subinterfaz DSL) y la mscara de red para la interfaz (la predeterminada es 255.255.255.255). Mtodo de autenticacin: Protocolo de autenticacin de establecimiento de conexin por desafo (CHAP), Protocolo de autenticacin de contrasea (PAP) o cualquier protocolo de autenticacin (cualquiera es el predeterminado). Conexin automtica: El nmero de segundos antes de que se reinicie una conexin que se cerr anteriormente. El valor predeterminado (0) desactiva esta funcin. Borrar al desconectar: Especifica que la informacin IP se borre al cerrar una conexin. De forma predeterminada, esta funcin est inhabilitada. Intervalo de inactividad: Especifica el nmero de minutos en que la conexin est en tiempo de espera antes de que el dispositivo de seguridad finalice la conexin. El intervalo predeterminado es de 30 minutos. Parmetros del Protocolo de control del vnculo (LCP) PPP para enviar solicitudes LCP-Echo.

Cuando se inicia una conexin PPPoA, el servidor PPPoA proporciona automticamente las direcciones IP para la interfaz de zona Untrust y para los servidores DNS. Cuando las direcciones del servidor DNS se reciben de PPPoA, el dispositivo actualiza el servidor DHCP en el dispositivo con estas direcciones del servidor DNS. Si no desea que se actualicen las direcciones del servidor DNS en el servidor DHCP, puede desactivar la actualizacin automtica de los parmetros DNS recibidos a travs de la conexin PPPoA.

72

Vista general de la lnea de abonado digital

Captulo 2: Lnea de abonado digital

Para mostar el estado de la instancia de PPPoA, utilice la WebUI (Network > PPPoA) o el comando CLI get pppoa all. El comando get pppoa all tambin muestra el estado de la interfaz fsica. El valor de tiempo de espera predeterminado para una sesin PPP en un dispositivo de seguridad es de 1800 segundos (30 minutos). Este valor se basa en el nmero predeterminado de veces que se intenta realizar una solicitud LCP-Echo (10) multiplicado por el intervalo entre solicitudes (180 segundos). Puede configurar el nmero de veces que se intenta realizar una solicitud de LCP-Echo y el intervalo entre solicitudes. Para establecer el nmero de veces que se intenta realizar una solicitud de LCP-Echo en 12 y el intervalo entre solicitudes en 190: WebUI Network > PPP > PPPoA Profile > Edit (para la instancia PPPoA): Introduzca los siguientes datos y haga clic en OK:
PPP Lcp Echo Retries: 12 PPP Lcp Echo Timeout: 190

CLI
set pppoa name poa1 ppp lcp-echo-retries 12 set pppoa name poa1 ppp lcp-echo-timeout 190 save

Protocolo punto a punto de conexin mltiple


ScreenOS le permite configurar el protocolo punto a punto de conexin mltiple (MLPPP) a travs de ADSL, la cual se utiliza para agrupar dos o ms canales en una conexin de alta velocidad. Este grupo duplica el ancho de banda ascendente y descendente. Cuando se asocian dos interfaces a una interfaz de conexin mltiple (ML) mientras las interfaces estn activas, se inicia el protocolo de control de conexin (LCP). La interfaz de ML no cambia su estado a activa hasta que la negociacin de LCP termina con xito. Si la interfaz de ML no utiliza una direccin IP esttica, la interfaz de ML obtiene una direccin IP dinmica despus de que termina la negociacin de LCP. Las siguientes restricciones se aplican a MLPPP cuando funciona con las interfaces ADSL:

Deben estar conectadas dos PIM al mismo BRAS Slo dos interfaces se pueden agrupar para MLPPP La interfaz debe estar en la misma zona de seguridad que la interfaz de ML

Vista general de la lnea de abonado digital

73

Manual de referencia de ScreenOS: Conceptos y ejemplos

Multitono discreto para las interfaces DSL


El multitono discreto (DMT) es un mtodo para codificar datos digitales en una seal analgica. De forma predeterminada, la interfaz ADSL negocia automticamente el modo de funcionamiento de DMT con el DSLAM del proveedor de servicios. Se puede cambiar el modo de la interfaz adsl para que la interfaz utilice nicamente una de las siguientes normas de DMT:

El TI.413, n. 2 del Instituto Nacional de Normas de EE.UU. (ANSI, por sus siglas en ingls), que admite velocidades de datos de hasta 8 Mbps en sentido descendente y 1 Mbps en sentido ascendente. El G.992.1 de la Unin Internacional de Telecomunicaciones (ITU) (tambin conocido como G.dmt), que admite velocidades de datos de 6,144 Mbps en sentido descendente y 640 kbps en sentido ascendente ITU 992.2 (tambin conocida como G.lite), que admite velocidades de datos de hasta 1,536 Mbps en sentido descendente y 512 kbps en sentido ascendente. Esta norma tambin se llama splitterless DSL, porque no tiene que instalar un separador de seal en su lnea ADSL, el equipo del proveedor de servicios separa la seal de forma remota. ITU 992.3 (tambin conocida como ADSL2), que admite velocidades de datos de hasta 1,2 Mbps en sentido ascendente y 12 Mbps en sentido descendente. ITU 992.5 (tambin conocida como ADSL2+), que admite velocidades de datos de hasta 1,2 Mbps en sentido ascendente y 24 Mbps en sentido descendente.

Para establecer el modo de funcionamiento de DMT de ADSL a ADSL2+: WebUI


Network > Interfaces > Edit (interfaz adsl): Introduzca los siguientes datos y haga clic en OK: Operating Mode: ADSL2+ (seleccionado)

CLI
set interface adsl1/0 phy operating-mode adsl2plus save

El DMT para la interfaz G.SHDSL est definido como ITU G.991.2, Transceptor de lnea de alta velocidad de abonado digital (SHDSL) de un solo par.

NOTA:

Comunquese con su ISP para conocer la compatibilidad del modo de funcionamiento. Le recomendamos utilizar el modo automtico para determinar cul modo de funcionamiento es compatible con su conexin.

Modo de anexo
El modo de anexo define el modelo de referencia del sistema para conectar las redes de DSL al servicio telefnico antiguo sencillo (POTS).

74

Vista general de la lnea de abonado digital

Captulo 2: Lnea de abonado digital

ScreenOS admite los siguientes modos de anexo:


Anexo A: Se utiliza en las implementaciones de red norteamericanas Anexo B: Se utiliza en las implementaciones de red europeas

Para configurar la interfaz ADSL para utilizar el modo de anexo B: WebUI


Network > Interfaces > Edit (interfaz adsl1/0): Introduzca los siguientes datos y haga clic en OK: Operating Mode: NON-UR2 (seleccionado)

CLI
set interface adsl1/0 phy operating-mode non-ur2 save

Para configurar la interfaz G.SHDSL para utilizar el modo de anexo A: WebUI


Network > Interfaces > Edit (interfaz shdsl1/0): Introduzca los siguientes datos y haga clic en OK: Operating Mode Annex: Annex-A (seleccionado)

CLI
set interface shdsl1/0 operating-mode annex-a save

Circuitos virtuales
Para agregar circuitos virtuales, debe crear subinterfaces en la interfaz ADSL o G.SHDSL. Puede crear hasta 10 subinterfaces. Por ejemplo, para crear una nueva subinterfaz llamada adsl1/0.1 asociada a la zona predeterminada denominada Untrust: WebUI Network > Interfaces > List > New ADSL Sub-IF: Introduzca los siguientes datos, luego haga clic en Apply:
Interface Name: adsl1/0.1 VPI/VCI: 0/35 Zone Name: Untrust (seleccione)

CLI
set interface adsl 1/0.1 pvc 0 35 zone Untrust save

Vista general de la lnea de abonado digital

75

Manual de referencia de ScreenOS: Conceptos y ejemplos

Es necesario configurar una subinterfaz de la misma manera que la interfaz principal, incluyendo el ajuste de los valores VPI/VCI, tal y como se muestra en Mtodo VPI/VCI y multiplexado en la pgina 76. La configuracin de la subinterfaz se realiza independientemente de la interfaz principal. Esto quiere decir que va a configurar un mtodo de multiplexado, VPI/VCI y un cliente PPP diferentes de los de la interfaz principal. Tambin puede configurar una direccin IP esttica en una subinterfaz, a pesar de que la interfaz principal no disponga de una direccin IP esttica.

Mtodo VPI/VCI y multiplexado


El proveedor de servicios asigna un par de VPI/VCI a cada conexin de circuito virtual. Por ejemplo, puede obtener el valor 1/32 para el par VPI/VCI, lo que asigna un valor VPI de 1 y un valor VCI de 32. Estos valores deben coincidir con los que el proveedor de servicios ha configurado en la parte del abonado del multiplexador de acceso de lnea de abonado digital (DSLAM). Para configurar el par 1/32 VPI/VCI en la interfaz adsl1/0: WebUI Network > Interfaces > List > Edit (para la interfaz adsl1/0): Introduzca 1/32 en el campo VPI/VCI, luego haga clic en Apply. CLI
set interface adsl1/0 pvc 1 32 save

De manera predeterminada, el dispositivo utiliza el multiplexado con base en el control de enlaces lgico (LLC) para cada circuito virtual. Para configurar el par VPI/VCI 1/32 en la interfaz adslx/0 y utilizar el encapsulado LLC en el circuito virtual: WebUI Network > Interfaces > List > Edit (para la interfaz adsl1/0): Introduzca los siguientes datos, luego haga clic en Apply:
VPI/VCI: 1/32 Multiplexing Method: LLC (seleccionado)

CLI
set interface adsl1/0 pvc 1 32 mux llc save

PPPoE o PPPoA
PPPoE es la manera ms habitual de encapsulado ADSL y G.SHDSL y est diseado para su finalizacin en cada host de la red. PPPoA se utiliza principalmente para los servicios empresariales, ya que las sesiones PPP se pueden finalizar en el dispositivo. Para permitir conectar el dispositivo a la red del proveedor de servicios, debe configurar el nombre de usuario y la contrasea asignados por el proveedor. La configuracin para PPPoA es parecida a la configuracin para PPPoE.

NOTA:

El dispositivo slo admite una sesin PPPoE en cada circuito virtual.

76

Vista general de la lnea de abonado digital

Captulo 2: Lnea de abonado digital

Para configurar el nombre de usuario roswell y contrasea area51 para PPPoE y vincular la configuracin de PPPoE a la interfaz adsl1/0: WebUI Network > PPP > PPPoE Profile> New: Introduzca los siguientes datos y haga clic en OK:
PPPoE Instance: poe1 Bound to Interface: adsl1/0 (seleccione) Username: roswell Password: area51

CLI
set pppoe name poe1 username roswell password area51 set pppoe name poe1 interface adsl1/0 save

Hay otros parmetros PPPoE o PPPoA que puede configurar en el dispositivo, incluyendo el mtodo de autenticacin (de forma predeterminada, el dispositivo admite el protocolo de autenticacin de establecimiento de conexin por desafo o bien el protocolo de autenticacin mediante contrasea), el tiempo de espera (el valor predeterminado es de 30 minutos), etc. Pregunte al proveedor si hay otros parmetros PPPoE o PPPoA que debe configurar para establecer correctamente la comunicacin con el servidor del proveedor de servicios.

Direccin IP esttica y mscara de red


Si su proveedor de servicios le proporcion una direccin IP fija y una mscara de red para la red, entonces configure la direccin IP y mscara de red para la red y la direccin IP del puerto del enrutador conectado al dispositivo. Tambin deber especificar que el dispositivo utiliza una direccin IP esttica. (Por lo general, el dispositivo acta como un cliente PPPoE o PPPoA y recibe una direccin IP para la interfaz ADSL mediante negociaciones con el servidor PPPoE o PPPoA.) Debe configurar una instancia PPPoE o PPPoA y enlazarla a la interfaz adsl1/0, tal y como se describe en PPPoE o PPPoA en la pgina 76. Asegrese de seleccionar Obtain IP using PPPoE o Obtain IP using PPPoA y el nombre de la instancia PPPoE o PPPoA. Para configurar la direccin IP esttica 1.1.1.1/24 para la red: WebUI Network > Interfaces > List > Edit (para la interfaz adsl1/0): Introduzca los siguientes datos, luego haga clic en Apply:
IP Address/Netmask: 1.1.1.1/24 Static IP: (seleccione)

Vista general de la lnea de abonado digital

77

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
set interface adsl1/0 ip 1.1.1.1/24 set pppoe name poe1 static-ip save o bien set interface adsl1/0 ip 1.1.1.1/24 set pppoa name poa1 static-ip save

Interfaz ADSL
Una lnea asimtrica de abonado digital (ADSL) es una tecnologa de lnea de abonado digital (DSL) que permite que las lneas telefnicas transmitan servicios de telefona de voz y transmisin digital de alta velocidad. Cada vez ms proveedores de servicios ofrecen servicio de ADSL a clientes residenciales y comerciales. La transmisin es asimtrica porque la velocidad a la que puede enviar los datos (la velocidad ascendente) es considerablemente menor que la velocidad a la que puede recibir datos (la velocidad descendente). Esto es ideal para el acceso a Internet porque la mayora de mensajes que enva a Internet son cortos y no requieren mucho ancho de banda de sentido ascendente, mientras que la mayora de datos que recibe desde Internet, como grficos, vdeos o contenido de audio, requieren mayor ancho de banda en sentido descendente. El cable de ADSL provisto con algunos dispositivos de seguridad se utiliza para conectar el puerto ADSL del dispositivo a la toma del telfono. No es necesario tener un mdem ADSL. Tambin se pueden instalar los separadores y microfiltros de seal que se obtengan del proveedor de servicios. Su red utiliza la interfaz ADSL2/2+ adslx/0, donde x representa la ranura PIM, en el dispositivo para conectarlo a la red del proveedor de servicios a travs de un circuito virtual de modo de transferencia asncrona (ATM). Puede configurar circuitos virtuales adicionales creando subinterfaces ADSL2/2+. Para obtener ms informacin, consulte Circuitos virtuales en la pgina 75. En la WebUI, acceda a la pgina Network > Interfaces > List para ver una lista de las interfaces disponibles en el dispositivo. Si utiliza una sesin Telnet o de consola, introduzca el comando CLI get interface. Comprobar que la interfaz adslx/0 est enlazada a la zona Untrust. Si utiliza la interfaz ADSL2/2+ para conectarse a la red de servicios del proveedor, debe configurar la interfaz adsl(x/0). Para ello, el proveedor de servicios le tiene que proporcionar la siguiente informacin:

Valores del identificador de trayecto virtual (Virtual Path Identifier) y del identificador de canal virtual (Virtual Channel Identifier) (VPI/VCI) Mtodo de multiplexado de capa de adaptacin ATM 5 (AAL5) de modo de transferencia asncrona (ATM), que puede ser una de las siguientes opciones:

Multiplexado con base en el circuito virtual, en el que cada protocolo se transporta a travs de un circuito virtual ATM independiente.

78

Interfaz ADSL

Captulo 2: Lnea de abonado digital

Encapsulado de control de enlaces lgico (LLC), que permite transportar varios protocolos en el mismo circuito virtual ATM (el mtodo de multiplexado predeterminado).

Nombre de usuario y contrasea asignados por el proveedor de servicios para conectarse a la red del proveedor mediante el protocolo punto a punto sobre Ethernet (PPPoE) o el protocolo punto a punto sobre ATM (PPPoA) Mtodo de autenticacin, si hubiera, que se proporciona a la conexin PPPoE o PPPoA Opcionalmente, una direccin IP esttica y un valor de mscara de red para la red

Interfaz G.SHDSL
La interfaz de lnea de alta velocidad del abonado digital G.symmetric (SHDSL) admite la tecnologa de mltiples velocidades, alta velocidad, tecnologa de lnea simtrica de abonado digital para la transferencia de datos entre un abonado del equipo de las instalaciones de un cliente (CPE) y una oficina central (CO). A diferencia del ADSL, que fue diseada para distribuir ms banda de ancho descendente que ascendente, la SHDSL es simtrica y distribuye un ancho de banda de 2,3 Mbps en ambas direcciones. La interfaz G.SHDSL admite slo el modo ATM sobre SHDSL. Las interfaces G.SHDSL pueden utilizar una interfaz ATM para enviar el trfico de red a travs de una conexin de punto a punto a un DSLAM. Puede configurar el protocolo de punto a punto sobre Ethernet (PPPoE) o PPP sobre ATM (PPPoE) para conectarse a travs de las conexiones DSL. Velocidad de lnea ScreenOS le permite especificar las velocidades disponibles de lnea en kilobytes por segundo. Existen dos modos PIC que se pueden configurar en la interfaz G.SHDSL. Puede configurar slo un modo en cada interfaz:

Modo de 2 puertos y dos cables: Admite la autodeteccin de la velocidad de lnea o velocidades de lnea fijas y proporciona velocidades de red desde 192 Kbps hasta 2,3 Mbps en incrementos de 64 Kbps. El modo de dos cables proporciona dos interfaces SHDSL separadas, ms lentas. Modo de 1 puerto y cuatro cables: Slo admite velocidades de lnea fijas y proporciona velocidades de red desde 384 Kbps hasta 4,6 Mbps en incrementos de 128 Kbps, aumentando el ancho de banda al doble. El modo de cuatro cables proporciona una interfaz SHDSL nica, ms rpida.

Para configurar la velocidad de la lnea G.SHDSL: WebUI Network > Interfaces > Edit (shdsl): Seleccione los siguientes datos y haga clic en OK:
Operating Mode Line Rate: auto (seleccionado)

Interfaz G.SHDSL

79

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
set interface shdsl1/0 phy operating-mode line-rate auto save

Modo de bucle invertido


La prueba del bucle invertido es un procedimiento de diagnstico en el cual se transmite una seal y sta regresa al dispositivo emisor despus de pasar por todas o una parte de una red o circuito. La seal que regresa se compara con la seal transmitida para evaluar la integridad del equipo o de la ruta de transmisin. ScreenOS le permite especificar el tipo de prueba de bucle invertido para la interfaz G.SHDSL. Para configurar el modo de bucle invertido de la interfaz G.SHDSL: WebUI Network > Interfaces > Edit (shdsl): Seleccione los siguientes datos y haga clic en OK:
Operating Mode Loopback: local (seleccionado)

CLI
set interface shdsl1/0 phy operating mode loopback local save

Funcionamiento, administracin y mantenimiento


ScreenOS le permite establecer los umbrales de celda del bucle invertido F5 de funcionamiento, administracin y mantenimiento (OAM), tambin conocido como transmisin en vivo, por medio de los circuitos virtuales ATM. El bucle invertido de OAM se utiliza para confirmar la conectividad de un PVC especfico. Tambin puede establecer el perodo de OAM, que es el intervalo, en segundos, en el cual las celdas de OAM se transmiten a travs de los circuitos virtuales ATM. Para establecer la transmisin en vivo de OAM: WebUI Network > Interfaces > Edit (shdsl): Seleccione los siguientes datos y haga clic en OK:
Operating Mode Oam-Liveness: Down 5 Up 5

CLI
set interface shdsl1/0 phy operating-mode oam-liveness 5 save

Para establecer el perodo de OAM: WebUI Network > Interfaces > Edit (shdsl): Seleccione los siguientes datos y haga clic en OK:
Operating Mode Oam-Period: Period 5 80

Interfaz G.SHDSL

Captulo 2: Lnea de abonado digital

CLI
set interface shdsl1/0 phy operating-mode oam-period 5 save

Relacin de seal y ruido


La relacin de seal y ruido (SNR) mide la calidad de un canal de transmisin o una seal de audio a travs de un canal de red. El establecimiento de SNR, crea una conexin de G.SHDSL ms estable al hacer que el curso de lnea en el margen de SNR sea mayor que el umbral. Si algn ruido externo inferior al umbral se aplica a la lnea, la lnea permanece estable. Tambin puede deshabilitar los umbrales de margen de SNR. Una SNR de cero indica que la seal no se distingue del ruido no deseado. ScreenOS le permite configurar uno o ambos de los siguientes umbrales:

current: La lnea contina ms alta que el margen de ruido actual, adems del umbral de SNR. El rango es de 0 a 10 db y el valor predeterminado es de 0. snext: La lnea contina ms alta que el umbral de interferencia cerca del extremo (SNEXT). El valor predeterminado es disabled.

Para configurar el umbral de SNR: WebUI Network > Interfaces > Edit (shdsl): Seleccione los siguientes datos y haga clic en OK:
Operating Mode Snr-margin: Current 0 Snext 11

CLI
set interface shdsl1/0 phy operating-mode snr-margin current 0 set interface shdsl1/0 phy operating-mode snr-margin snext 11 save

Ejemplos de configuracin de ADSL


Esta seccin contiene los siguientes ejemplos de configuraciones:

Ejemplo 1: (residencial/comercial pequeo) PPPoA en interfaz de ADSL en la pgina 82. Configure el dispositivo de seguridad como un cortafuegos con una conexin de Internet a travs de la interfaz ADSL con PPPoA (o PPPoE). Ejemplo 2: (residencial/comercial pequeo) Puenteo 1483 en interfaz de ADSL en la pgina 85. Configure el dispositivo de seguridad como un cortafuegos con una conexin de Internet a travs de la interfaz ADSL con 1483 Bridging. Ejemplo 3: (comercial pequeo) Enrutamiento 1483 en interfaz ADSL en la pgina 87. Configure el dispositivo de seguridad como un cortafuegos con una conexin de Internet a travs de la interfaz ADSL, con un enrutamiento RFC 1483.
Ejemplos de configuracin de ADSL 81

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplo 4: (residencial/comercial pequeo) Respaldo de acceso telefnico en la pgina 89. Configure el dispositivo de seguridad como un cortafuegos con la conexin primaria de Internet a travs de la interfaz ADSL utilizando PPPoE con acceso telefnico como conexin de respaldo. Ejemplo 5: (residencial/comercial pequeo) Respaldo de Ethernet en la pgina 92. Configure el dispositivo de seguridad como un cortafuegos con la conexin primaria de Internet a travs de la interfaz de ADSL utilizando PPPoE con Ethernet como conexin de respaldo. Ejemplo 6: (residencial/comercial pequeo) Respaldo de ADSL en la pgina 95. Configure el dispositivo de seguridad como un cortafuegos con la conexin primaria de Internet a travs de la interfaz ADSL utilizando PPPoE con otra interfaz ADSL como conexin de respaldo. Ejemplo 7: (comercial pequeo) MLPPP ADSL en la pgina 98. Configure el dispositivo de seguridad como un cortafuegos con una conexin de Internet a travs de la conexin de ADSL de PPP de conexin mltiple. Ejemplo 8: (negocio pequeo) Permite acceso a los servidores locales en la pgina 101. Configure el dispositivo de seguridad como un cortafuegos con una conexin de Internet a travs de la interfaz de ADSL. Puede obtener acceso de Internet a servidores web locales mientras impide que se obtenga acceso a otros host internos directamente desde Internet. Ejemplo 9: (sucursal) Tnel VPN a travs de ADSL en la pgina 103. Configure el dispositivo de seguridad como un cortafuegos con un tnel VPN para oficinas centrales corporativas a travs de la interfaz de ADSL. Puede obtener acceso de Internet a servidores web locales mientras impide que se obtenga acceso a otros host internos directamente desde Internet. Ejemplo 10: (Sucursal) Tnel VPN secundario en la pgina 107. Configure el dispositivo de seguridad como un cortafuegos con una conexin de Internet y una conexin a las oficinas centrales corporativas a travs de la interfaz de ADSL. Configure un tnel VPN a travs de Internet a las oficinas centrales corporativas como una conexin secundaria.

Ejemplo 1: (residencial/comercial pequeo) PPPoA en interfaz de ADSL


Este ejemplo, como se muestra en la Figura 11, explica cmo configurar un dispositivo de seguridad como cortafuegos con una conexin de Internet a travs de la interfaz ADSL utilizando PPPoA. Algunos dispositivos de seguridad actan como cliente PPPoA y como servidor DHCP. La configuracin de PPPoA en una interfaz ADSL incluye lo siguiente: 1. Asigne la interfaz ehternet0/1 a la zona Trust y establzcala como el servidor DHCP. Cuando el dispositivo de seguridad asigna direcciones IP a los hosts en la zona Trust, tambin proporciona a los host la direccin del servidor DNS que le proporcion el proveedor de servicios.

82

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

2. Configure un PVC en la interfaz ADSL con el valor par 0/35 de VPI/VCI que utiliza encapsulado LLC y una instancia PPPoA llamada poa1, que est asociada a la interfaz ADSL. Cuando el dispositivo de seguridad recibe la direccin IP para la interfaz ADSL, tambin recibe una o ms direcciones IP para los servidores DNS. 3. Active PPPoA en el dispositivo de seguridad. El dispositivo de seguridad recibe una direccin IP asignada dinmicamente para su interfaz de ADSL (adsl1/0) del proveedor de servicios a travs de PPPoA y el dispositivo de seguridad tambin asigna dinmicamente las direcciones IP a los host en su zona Trust. 4. Active DHCP en la red interna.
Figura 11: Interfaz ADSL utilizando PPPoA

Internet Zona Untrust

Servidores DNS DSLAM

ADSL1/0

ethernet0/1: 192.168.1.1/24

Zona Trust

Rango de DHCP: 192.168.1.3 - 192.168.1.33

WebUI
1. Interfaz Ethernet y servidor DHCP

Network > Interfaces > ethernet0/1 > Edit: Introduzca los siguientes datos y haga clic en OK:
Zone: Trust Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24

Network > DHCP > Edit (para ethernet2/1) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.1.3 IP Address End: 192.168.1.33

Ejemplos de configuracin de ADSL 83

Manual de referencia de ScreenOS: Conceptos y ejemplos

2.

Interfaz ADSL y PPPoA

Network > Interfaces > Edit (para adsl 1/0): Introduzca los siguientes datos y haga clic en OK:
VPI/VCI: 0/35 Encapsulation: LLC (seleccionar) Zone Name: Untrust

Network > PPP > PPPoA Profile> New: Introduzca los siguientes datos y haga clic en OK:
PPPoA Instance: poa1 Bound to Interface: adsl1/0 (seleccionado) Username: alex Password: tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== Automatic Update of DHCP Servers DNS Parameters: (seleccione)
3. Activacin de PPPoA en el dispositivo de seguridad

Desconecte la alimentacin al dispositivo de seguridad y las estaciones de trabajo en la zona Trust. Encienda el dispositivo de seguridad. El dispositivo de seguridad realiza una conexin de PPPoA a DSLAM y obtiene la direccin IP para la interfaz ADSL as como las direcciones IP para los servidores de DNS.
4. Activacin de DHCP en la red interna

Encienda las estaciones de trabajo. Las estaciones de trabajo reciben automticamente la direccin IP para el servidor DNS y obtienen una direccin IP para s mismos cuando intentan realizan una conexin TCP/IP. CLI
1. Interfaz Trust y servidor DHCP

set set set set


2.

interface ethernet0/1 zone trust interface ethernet0/1 ip 192.168.1.1/24 interface ethernet0/1 dhcp server service interface ethernet0/1 dhcp server ip 192.168.1.3 192.168.1.33

Interfaz ADSL y PPPoA

set interface adsl2/1 pvc 0 35 mux llc zone untrust set pppoa name poa1 username alex password tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== set pppoa name poa1 interface adsl1/0 set pppoa name poa1 update-dhcpserver save
3. Activacin de PPPoA en el dispositivo de seguridad

Desconecte la alimentacin al dispositivo de seguridad y las estaciones de trabajo en la zona Trust. Encienda el dispositivo de seguridad.

84

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

El dispositivo de seguridad realiza una conexin de PPPoA a DSLAM y obtiene la direccin IP para la interfaz ADSL as como las direcciones IP para los servidores de DNS.
4. Activacin de DHCP en la red interna

Encienda las estaciones de trabajo. Las estaciones de trabajo reciben automticamente la direccin IP para el servidor DNS y obtienen una direccin IP para s mismos cuando intentan realizan una conexin TCP/IP.

Ejemplo 2: (residencial/comercial pequeo) Puenteo 1483 en interfaz de ADSL


RFC 1483 describe los mtodos de transporte de unidades de datos del protocolo (PDU) enlazadas a travs de vnculos AAL5. Las PDU enlazadas no requieren el gasto de procesamiento de IPSec, por lo que permiten que exista un ancho de banda ms til para el trfico de datos. Dicho trfico no est seguro en la capa 1 del paquete IP y se deber utilizar nicamente donde haya un VC privado (el proveedor de servicios le asigna una direccin IP esttica a su interfaz ADSL). Este ejemplo, como se muestra en la Figura 12, explica cmo configurar el dispositivo de seguridad como un cortafuegos con una conexin de Internet a travs de la interfaz ADSL utilizando puenteo 1483. Un proveedor de servicios asigna la direccin IP esttica 1.1.1.1/32 para su red, as como una direccin IP para el servidor DNS. Para configurar el puenteo 1483 en una interfaz ADSL, realice lo siguiente: 1. Configure la interfaz Trust y establzcala como el servidor DHCP. 2. Configure un PVC en la interfaz ADSL con el par 0/35 de VPI/VCI y la direccin IP esttica 1.1.1.1/32 que asign el proveedor de servicios. 3. Active DHCP en la red interna. El dispositivo de seguridad tambin asigna, de forma dinmica, las direcciones IP para los host de su zona Trust. Cuando el dispositivo de seguridad asigna direcciones IP a los hosts en la zona Trust, tambin proporciona las direcciones del servidor DNS, que le proporcion el proveedor de servicios.

Ejemplos de configuracin de ADSL 85

Manual de referencia de ScreenOS: Conceptos y ejemplos

Figura 12: Interfaz de ADSL utilizando RFC puenteo de 1483

Internet Zona Untrust DSLAM Servidores DNS

Interfaz Untrust (adsl1/0): PPPoA

Ethernet0/1: 192.168.1.1/24

Zona Trust

Rango de DHCP: 192.168.1.3 192.168.1.33

WebUI
1. Interfaz Ethernet y servidor DHCP

Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes datos y haga clic en OK:
Zone: Trust Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24 Interface Mode: NAT

Network > DHCP > Edit (for trust interface) > DHCP Server: Introduzca los siguientes datos y haga clic en Apply.
Gateway: 1.1.1.1 Netmask: 255.255.255.0 DNS#1: 1.1.1.221

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.1.3 IP Address End: 192.168.1.33
2. Interfaz ADSL

Network > Interfaces > Edit (para la interfaz adsl1/0): Introduzca los siguientes datos, luego haga clic en Apply:
VPI/VCI: 0/35 Zone Name: Untrust Static IP: (seleccione) IP Address/Netmask: 1.1.1.1/32

86

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

3.

Activacin de DHCP en la red interna

Apague las estaciones de trabajo. Las estaciones de trabajo reciben automticamente la direccin IP para el servidor DNS y obtienen una direccin IP para s mismos cuando intentan realizan una conexin TCP/IP. CLI
1. Interfaz Trust y servidor DHCP

set set set set


2.

interface ethernet0/1 zone trust interface ethernet0/1 ip 192.168.1.1/24 interface ethernet0/1 dhcp server service interface ethernet0/1 dhcp server ip 192.168.1.3 192.168.1.33

ADSL Interface

set interface adsl1/0 pvc 0 35 mux llc zone untrust set interface adsl1/0 ip 1.1.1.1/32 save
3. Activacin de DHCP en la red interna

Apague las estaciones de trabajo. Las estaciones de trabajo reciben automticamente la direccin IP para el servidor DNS y obtienen una direccin IP para s mismos cuando intentan realizan una conexin TCP/IP.

Ejemplo 3: (comercial pequeo) Enrutamiento 1483 en interfaz ADSL


RFC 1483 describe los mtodos de transporte de unidades de datos del protocolo enrutado (PDU) a travs de conexiones AAL5. Utilice esta configuracin para habilitar el dispositivo para intercambiar informacin de enrutamiento con otro enrutador a travs de la interfaz ADSL. Este ejemplo, como se muestra en la Figura 13, explica cmo configurar el dispositivo de seguridad como un cortafuegos con una conexin de Internet a travs de la interfaz ADSL utilizando un enrutamiento 1483 y encapsulamiento LLC. Para configurar el enrutamiento 1483 en una interfaz ADSL, realice lo siguiente: 1. Configure la interfaz ADSL. Establezca un PVC en la interfaz ADSL con el par 0/35 de VPI/VCI y la direccin IP esttica 1.1.1.1/24. Tambin puede configurar la interfaz ADSL para que sea un cliente DHCP quien reciba su direccin IP desde un servidor DHCP que se ejecuta en el enrutador vecino. 2. Configure la interfaz Ethernet. Establezca la direccin IP en 192.168.1.1/24 y el modo de interfaz en modo de rutas. 3. Habilite el protocolo de enrutamiento dinmico, que puede ser RIP, OSPF o BGP, en el enrutador virtual trust-vr y en las interfaces de ADSL y Trust; en el ejemplo, el protocolo de enrutamiento dinmico es RIP. La interfaz en el enrutador vecino tambin est configurada para encapsulado LLC y enrutamiento 1483.

Ejemplos de configuracin de ADSL 87

Manual de referencia de ScreenOS: Conceptos y ejemplos

Figura 13: Enrutamiento 1483 en la interfaz ADSL

Internet

Zona Untrust

Enrutador vecino DSLAM

Interfaz Untrust (adsl1/0) 1.1.1.1/24

Interfaz Ethernet0/1 192.168.1.1/24

Zona Trust

WebUI
1. ADSL Interface

Network > Interfaces > Edit (para la interfaz adsl1/0): Introduzca los siguientes datos y haga clic en OK:
VPI/VCI: 0/35 Multiplexing Method: LLC (seleccionar) RFC1483 Protocol Mode: Routed (seleccione) Zone: Untrust Static IP: (seleccione) IP Address/Netmask: 1.1.1.1/24
2. Interfaz Ethernet

Network > Interfaces > Edit (para Ethernet0.1): Introduzca los siguientes datos y haga clic en OK:
Zone: Trust Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24 Interface Mode: Route
3. Protocolo de enrutamiento dinmico

Network > Routing > Virtual Router (trust-vr) > Edit: Seleccione Create RIP Instance. Seleccione Enable RIP y haga clic en OK. Network > Interface > Edit (for adsl1 interface) > RIP: Seleccione Protocol RIP Enable, luego haga clic en Apply.
88

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

Network > Interface > Edit (for trust interface) > RIP: Seleccione Protocol RIP Enable, luego haga clic en Apply. CLI
1. Interfaz ADSL

set int adsl1/0 pvc 0 35 mux llc protocol routed zone untrust set int adsl1/0 ip 1.1.1.1/24
2. Interfaz Trust

set interface ethernet0/1 zone trust set interface ethernet0/1 ip 192.168.1.1/24 set interface ethernet0/1 route
3. Protocolo de enrutamiento dinmico

set vr trust-vr protocol rip set vr trust-vr protocol rip enable set interface adsl1/0 protocol rip set interface adsl1/0 protocol rip enable set interface ethernet0/1 protocol rip set interface ethernet0/1 protocol rip enable save

Ejemplo 4: (residencial/comercial pequeo) Respaldo de acceso telefnico


Este ejemplo, como se muestra en la Figura 14, explica cmo configurar el dispositivo de seguridad como un cortafuegos con la conexin principal de Internet a travs de la interfaz ADSL utilizando PPPoE y una conexin de respaldo a Internet a travs de una conexin de acceso telefnico.

NOTA:

Algunos dispositivos no admiten la funcin de respaldo. Para configurar la conexin primaria a travs de la interfaz ADSL y la conexin de respaldo a travs del acceso telefnico, realice lo siguiente: 1. Configure la interfaz ADSL y PPPoE. Configure un PVC en la interfaz ADSL con el valor par 0/35 de VPI/VCI que utiliza encapsulado LLC y una instancia PPPoE llamada poe1, que est asociada a la interfaz ADSL. 2. Configure una conexin de respaldo a Internet con la interfaz serie en el puerto de mdem. Cuando las interfaces ADSL y serie estn asociadas a la zona Untrust, la conmutacin por error de la interfaz se configura automticamente. Esto significa que si la interfaz ADLS no est disponible, el dispositivo de seguridad enva automticamente el trfico saliente a la interfaz de serie, obteniendo acceso telefnico a travs del mdem o del adaptador de la terminal de la Red digital de servicios integrados (RDSI) a su cuenta ISP. Cuando la interfaz ADSL est disponible de nuevo, el dispositivo de seguridad enva automticamente trfico saliente a la interfaz de adsl1. Para obtener informacin sobre la conmutacin por error de la interfaz, consulte Cambio en caso de falla en la pgina 11-87. Para obtener informacin sobre la configuracin de RDSI, consulte Conmutacin por error de ISP y recuperacin por acceso telefnico en la pgina 115.

Ejemplos de configuracin de ADSL 89

Manual de referencia de ScreenOS: Conceptos y ejemplos

3. Configure la zona Global. Establezca la direccin IP esttica de la zona Global como 192.168.1.1/24 y establezca el modo de interfaz a NAT. 4. Configure la zona Self. Establezca la direccin IP esttica de la zona Self como 192.168.2.1/24 y establezca el modo de interfaz a NAT. 5. Active DHCP en las zonas Global y Self.
Figura 14: ADSL con respaldo de acceso telefnico

Internet Zona Untrust DSLAM RDSI serie: ISP adsl1/0: Modo PPPoE Adaptador de terminal RDSI

ethernet0/2: 192.168.2.1/24 Zona Self Rango de DHCP: 192.168.2.2 192.168.2.4

ethernet0/1: 192.168.1.1/24 Zona Global Rango de DHCP: 192.168.1.3 192.168.1.33

Para configurar la interfaz serie, necesita la siguiente informacin:


Nombre de usuario y contrasea de su cuenta para el proveedor de servicios de acceso telefnico Conexin telefnica principal para acceso telefnico a la cuenta Cadena de inicializacin del mdem

WebUI
1. Interfaz ADSL y PPPoE

Network > Interfaces > Edit (para la interfaz adsl1/0): Introduzca los siguientes datos y haga clic en OK:
VPI/VCI: 0/35 Encapsulation: LLC (seleccionado) Zone Name: Untrust

90

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

Network > PPP > PPPoE Profile> New: Introduzca los siguientes datos y haga clic en OK:
PPPoE Instance: poe1 Bound to Interface: adsl1/0 (seleccione) Username: alex Password: tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== Automatic Update of DHCP Servers DNS Parameters: (seleccione)
2. Interfaz de acceso telefnico de respaldo

Network > Interfaces > Backup: Introduzca los siguientes datos y haga clic en OK:
Primary Interface: adsl1/0 Backup Interface: serial0/0 Type: track ip

Network > Interfaces > Edit > Monitor (para interfaz adsl1/0): Introduzca los siguientes datos y haga clic en OK:
Enable Track IP: (seleccione) Threshold: 1 Weight: 255

Network > Interfaces > Edit > Monitor > Track IP > Click ADD: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione)
3. Interfaz LAN

Network > Interfaces > Edit (for ethernet1 interface): Introduzca los siguientes datos y haga clic en OK:
Zone: Work (already selected) Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24 Interface Mode: NAT

Network > DHCP > Edit (para interfaz ethernet0/1) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.1.3 IP Address End: 192.168.1.33
4. Interfaz propia

Network > Interfaces > Edit (para interfaz ethernet0/2): Introduzca los siguientes datos y haga clic en OK:
Zone: Home (already selected) Static IP: (seleccione) IP Address/Netmask: 192.168.2.1/24 Interface Mode: NAT

Ejemplos de configuracin de ADSL 91

Manual de referencia de ScreenOS: Conceptos y ejemplos

Network > DHCP > Edit (for ethernet2 interface) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.2.2 IP Address End: 192.168.2.5
5. Activacin de DHCP en las zonas Home y Work

Apague las estaciones de trabajo. Las estaciones de trabajo reciben automticamente la direccin IP para el servidor DNS y obtienen una direccin IP para s mismos cuando intentan realizan una conexin TCP/IP. CLI
1. Interfaz ADSL y PPPoE

set interface adsl1/0 pvc 0 35 mux llc zone untrust set pppoe name poe1 username alex password tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== set pppoe name poe1 interface adsl1/0
2. Interfaz de acceso telefnico de respaldo

set interface adsl1/0 backup interface serial0/0 type track-ip set interface adsl1/0 monitor track ip set interface adsl1/0 monitor track-ip dynamic
3. Interfaz LAN

set interface ethernet0/1 ip 192.168.1.1/24 set interface ethernet0/1 dhcp server service set interface ethernet0/1 dhcp server ip 192.168.1.3 192.168.1.33
4. Interfaz propia

set interface ethernet0/2 ip 192.168.2.1/24 set interface ethernet0/2 dhcp server service set interface ethernet0/2 dhcp server ip 192.168.2.2 192.168.2.5 save
5. Activacin de DHCP en las zonas Home y Work

Apague las estaciones de trabajo. Las estaciones de trabajo reciben automticamente la direccin IP para el servidor DNS y obtienen una direccin IP para s mismos cuando intentan realizan una conexin TCP/IP.

Ejemplo 5: (residencial/comercial pequeo) Respaldo de Ethernet


Este ejemplo, como se muestra en la Figura 15, explica cmo configurar el dispositivo de seguridad como un cortafuegos con la conexin principal de Internet a travs de la interfaz ADSL utilizando PPPoE y una conexin de respaldo de Internet a travs de una conexin Ethernet.

92

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

NOTA:

Este ejemplo es similar a la configuracin que se muestra en Ejemplo 4: (residencial/comercial pequeo) Respaldo de acceso telefnico en la pgina 89, excepto que la conexin de respaldo a Internet es a travs del puerto Ethernet Untrusted. Para configurar la conexin primaria a travs de la interfaz ADSL y la conexin de respaldo a travs de una conexin Ethernet, realice lo siguiente: 1. Configure la interfaz ADSL con PPPoE. Configure un PVC en la interfaz ADSL con el valor par 0/35 de VPI/VCI que utiliza encapsulado LLC y una instancia PPPoE llamada poe1, que est asociada a la interfaz ADSL. 2. Configure la interfaz de respaldo como ethernet3. 3. Configure la zona Global. 4. Configure la zona Self.

Figura 15: ADSL con respaldo de Ethernet

Internet Zona Untrust RDSI

DSLAM

adsl1/0: Modo PPPoE

ethernet0/3: DHCP

ethernet0/2: 192.168.2.1/24 ethernet0/1: 192.168.1.1/24 Zona Self Rango de DHCP: 192.168.2.2 192.168.2.4 Zona Global

Rango de DHCP: 192.168.1.3 192.168.1.33

WebUI
1. Interfaz ADSL y PPPoE

Network > Interfaces > Edit (para adsl1/0): Introduzca los siguientes datos y haga clic en OK:
VPI/VCI: 0/35 Encapsulation: LLC (seleccionado) Zone: Untrust

Ejemplos de configuracin de ADSL 93

Manual de referencia de ScreenOS: Conceptos y ejemplos

Network > PPP > PPPoE Profile> New: Introduzca los siguientes datos y haga clic en OK:
PPPoE Instance: poe1 Bound to Interface: adsl1/0 (seleccione) Username: alex Password: tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== Automatic Update of DHCP Servers DNS Parameters: (seleccione)
2. Backup Ethernet Interface

Network > Interfaces > Edit (para ethernet0/3): Introduzca los siguientes datos y haga clic en OK:
Zone Name: Untrust (seleccione) Obtain IP using DHCP: (seleccione) Automatic update DHCP server parameters: (seleccione)
3. Zona Global

Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes datos y haga clic en OK:
Zone: Global Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24 Interface Mode: NAT

Network > DHCP > Edit (para ethernet0/1) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.1.3 IP Address End: 192.168.1.33
4. Zona Self

Network > Interfaces > Edit (para ethernet0/2): Introduzca los siguientes datos y haga clic en OK:
Zone: Self Static IP: (seleccione) IP Address/Netmask: 192.168.2.1/24 Interface Mode: NAT

Network > DHCP > Edit (para ethernet 0/2) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.2.2 IP Address End: 192.168.2.5

94

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

CLI
1. Interfaz ADSL y PPPoE

set interface adsl1/0 pvc 0 35 mux llc zone untrust set pppoe name poe1 username alex password tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== set pppoe name poe1 interface adsl1/0
2. Backup Ethernet Interface

set interface ethernet0/3 zone untrust set interface ethernet0/3 dhcp client set interface ethernet0/3 update-dhcpserver
3. Zona Global

set interface ethernet0/1 ip 192.168.1.1/24 set interface ethernet0/1 dhcp server service set interface ethernet0/1 dhcp server ip 192.168.1.3 192.168.1.33
4. Zona Self

set interface ethernet0/2 ip 192.168.2.1/24 set interface ethernet0/2 dhcp server service set interface ethernet0/2 dhcp server ip 192.168.2.2 192.168.2.5 save

Ejemplo 6: (residencial/comercial pequeo) Respaldo de ADSL


Este ejemplo, como se muestra en la Figura 16, explica cmo configurar el dispositivo de seguridad como un cortafuegos con la conexin principal de Internet a travs de la interfaz ADSL utilizando PPPoE y una conexin de respaldo de Internet a travs de una conexin ADSL. Para configurar la conexin primaria a travs de la interfaz ADSL y la conexin de respaldo a travs de una conexin Ethernet, realice lo siguiente: 1. Configure las interfaces ADSL con PPPoE. Configure un PVC en la interfaz ADSL con el valor par 0/35 de VPI/VCI que utiliza encapsulado LLC y una instancia PPPoE llamada poe1, que est asociada a la interfaz ADSL. 2. Configure la interfaz ADSL de respaldo como adsl2/0. 3. Configure la zona Global. 4. Configure la zona Self.

Ejemplos de configuracin de ADSL 95

Manual de referencia de ScreenOS: Conceptos y ejemplos

Figura 16: ADSL con respaldo de ADSL

Internet

Zona Untrust

DSLAM

DSLAM

adsl1/0: Modo PPPoE

adsl2/0: Modo PPPoE

Interfaz ethernet0/1: 192.168.2.1/24

Interfaz ethernet0/2: 192.168.1.1/24

Zona Self

Rango de DHCP: 192.168.2.2 192.168.2.4

Zona Global

Rango de DHCP: 192.168.1.3 192.168.1.33

WebUI
1. Interfaz ADSL y PPPoE

Network > Interfaces > Edit (para adsl1/0): Introduzca los siguientes datos y haga clic en OK:
VPI/VCI: 0/35 Encapsulation: LLC (seleccionado) Zone: Untrust

Network > PPP > PPPoE Profile> New: Introduzca los siguientes datos y haga clic en OK:
PPPoE Instance: poe1 Bound to Interface: adsl1/0 (seleccione) Username: alex Password: tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== Automatic Update of DHCP Servers DNS Parameters: (seleccione)
2. Interfaz ADSL de respaldo

Network > Interfaces > Edit (para adsl2/0): Introduzca los siguientes datos y haga clic en OK:
VPI/VCI: 8/35 Encapsulation: LLC (seleccionado) Zone: Untrust

96

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

Network > PPP > PPPoE Profile> New: Introduzca los siguientes datos y haga clic en OK:
PPPoE Instance: poe2 Bound to Interface: adsl2/0 (seleccione) Username: alex Password: tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== Automatic Update of DHCP Servers DNS Parameters: (seleccione)

Network > Interfaces > Backup: Introduzca los siguientes datos y haga clic en OK:
Primary Interface: adsl1/0 Backup Interface: adsl2/0 Type: track ip

Network > Interfaces > Edit > Monitor (para la interfaz adsl1/0): Introduzca los siguientes datos y haga clic en OK:
Enable Track IP: (seleccione) Threshold: 1 Weight: 255
3. Zona Global

Network > Interfaces > Edit (para ethernet0/2): Introduzca los siguientes datos y haga clic en OK:
Zone: Global Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24 Interface Mode: NAT

Network > DHCP > Edit (para ethernet0/2) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.1.3 IP Address End: 192.168.1.33
4. Zona Self

Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes datos y haga clic en OK:
Zone: Self Static IP: (seleccione) IP Address/Netmask: 192.168.2.1/24 Interface Mode: NAT

Network > DHCP > Edit (para ethernet0/1) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.2.2 IP Address End: 192.168.2.5

Ejemplos de configuracin de ADSL 97

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
1. Interfaz ADSL y PPPoE

set interface adsl1/0 pvc 0 35 mux llc zone untrust set pppoe name poe1 username alex password tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== set pppoe name poe1 interface adsl1/0
2. Interfaz ADSL de respaldo

set interface adsl2/0 pvc 8 35 mux llc zone untrust set pppoe name poe1 username alex password tSOCbme4NW5iYPshGxCy67Ww48ngtHC0Bw== set pppoe name poe2 interface adsl2/0 set interface adsl1/0 backup interface adsl2/0 type track-ip set interface adsl1/0 monitor track ip set interface adsl1/0 monitor track-ip dynamic
3. Zona Global

set interface ethernet0/2 ip 192.168.1.1/24 set interface ethernet0/2 dhcp server service set interface ethernet0/2 dhcp server ip 192.168.1.3 192.168.1.33
4. Zona Self

set interface ethernet0/1 ip 192.168.2.1/24 set interface ethernet0/1 dhcp server service set interface ethernet0/1 dhcp server ip 192.168.2.2 192.168.2.5 save

Ejemplo 7: (comercial pequeo) MLPPP ADSL


Este ejemplo, como se muestra en la Figura 14, explica cmo configurar un PVC en la interfaz ADSL con el valor par 8/35 de VPI/VCI que utiliza encapsulado MLPPP y un perfil PPP, denominado adsltest, el cual est asociado a la interfaz ML.

NOTA:

Algunos dispositivos no admiten el encapsulado MLPP. Para configurar MLPPP sobre ADSL, realice lo siguiente: 1. Configure la interfaz de conexin mltiple. 2. Configure un perfil PPP con una direccin IP dinmica. 3. Asocie el perfil PPP a la interfaz de conexin mltiple. 4. Agrupe la interfaz ADSL con la interfaz de conexin mltiple.

98

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

Figura 17: MLPPP por ADSL

Internet Zona Untrust DSLAM y BRAS ML IP 192.168.3.22/32 agrupada con el perfil PPP adsltest

Zona Trust

WebUI
1. Interfaz de conexin mltiple

Network > Interfaces > New (interfaz de conexin mltiple): Introduzca los siguientes datos y haga clic en OK:
Interface Name: 1 WAN Encapsulation: Multi-Link PPP (seleccione) Zone Name: Untrust (seleccione)
2. Perfil PPP con direccin IP dinmica

Network > PPP Profile > Edit: Introduzca los siguientes datos y haga clic en OK:
PPP Profile: adsltest Authentication: CHAP (seleccione) y PAP (seleccione) Static IP: (elimine la seleccin) Netmask: 255.255.255.255 Passive: Dont challenge peer (anule la seleccin) Local Name: root Password: 123456 (no se muestra)
Perfil PPP con direccin IP esttica (Opcional)

Static IP: (seleccione)

Ejemplos de configuracin de ADSL 99

Manual de referencia de ScreenOS: Conceptos y ejemplos

3.

Asociacin del perfil PPP a la interfaz ML

Network > Interfaces > Edit (interfaz ml1) > Basic properties: Introduzca los siguientes datos y haga clic en OK:
WAN Encapsulation: Multi-Link PPP (seleccione) Binding a PPP Profile: adsltest (seleccione) Fixed IP: (seleccione) IP Address/Netmask: 192.168.3.22/24 Manage IP: 0.0.0.0 Interface Mode: Route (seleccione) Maximum Transfer Unit (MTU): 1500
4. Asociacin de la interfaz ADSL a la interfaz ML

Network > Interfaces > Edit (para la interfaz adsl1/0): Introduzca los siguientes datos y haga clic en OK:
VPI/VCI: 8/35 QoS Options: UBR (seleccione) Multiplexing Method: LLC (seleccione) RFC1483 Protocol Mode: Bridged (seleccione) Operating Mode: Auto (seleccione) Bind to a multilink interface: ml1 (seleccione) DNS Proxy: (seleccione)

CLI
1. Interfaz de conexin mltiple

set interface ml1 zone untrust set interface ml1 encap mlppp
2. Perfil PPP con direccin IP dinmica

set set set set

ppp profile adsltest ppp profile adsltest auth type any ppp profile adsltest auth local-name root ppp profile adsltest auth secret 123456

Perfil PPP con direccin IP esttica (Opcional)

set ppp profile adsltest static-ip set interface ml1 ip 192.168.3.22/32


3. Asociacin del perfil PPP a la interfaz ML

set interface ml1 ppp profile adsltest


4. Asociacin de la interfaz ADSL a la interfaz ML

set set set set


5.

interface adsl1/0 pvc 8 35 zone untrust interface adsl2/0 pvc 8 35 zone untrust interface adsl1/0 bundle ml1 interface adsl2/0 bundle ml1

Eliminacin de una conexin de miembro del grupo

unset interface adsl1/0 bundle unset interface adsl2/0 bundle

100

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

Ejemplo 8: (negocio pequeo) Permite acceso a los servidores locales


Este ejemplo, como se muestra en la Figura 18, explica cmo configurar el dispositivo de seguridad para que los host internos puedan obtener acceso a Internet a travs de la interfaz ADSL y para que los usuarios de Internet tengan acceso al servidor web local al tiempo que se protegen otros host internos. Para segregar el flujo de trfico dirigido al servidor web del resto de su red interna, realice lo siguiente: 1. Configure las interfaces Trust y DMZ. 2. Configure la interfaz ADSL y la direccin IP asignada (MIP). Establezca un PVC en la interfaz ADSL con el par 0/35 de VPI/VCI y la direccin IP esttica 1.1.1.1/24 que asign el proveedor de servicios. La interfaz Trust se asocia a la zona Trust y le asigna la direccin IP 192.168.1.1/24. Puede configurar una MIP para dirigir el trfico entrante HTTP destinado para el host 1.1.1.5 al servidor web en 10.1.1.5 de la zona DMZ. 3. Cree una directiva para que pueda pasar nicamente el trfico HTTP a la zona en que reside el servidor web. (Las directivas predeterminadas habilitan todo el trfico de la zona Trust a la zona Untrust y bloquean todo el trfico de la zona Untrust a la zona Trust).
Figura 18: Interfaz de ADSL que permite acceso a servidores locales

Internet Zona Untrust DSLAM

adsl1/0: 1.1.1.1/24 MIP 1.1.1.5 -> 10.1.1.5 ethernet2/0: 10.1.1.1/24 Zona DMZ ethernet1/0: 192.168.1.1/24

Zona Untrust

Servidor web 10.1.1.5

Ejemplos de configuracin de ADSL 101

Manual de referencia de ScreenOS: Conceptos y ejemplos

WebUI
1. Interfaces Ethernet

Network > Interfaces > Edit (para ethernet1/0): Introduzca los siguientes datos y haga clic en OK:
Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24 Interface Mode: NAT

Network > DHCP > Edit (para ethernet1/0) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.1.3 IP Address End: 192.168.1.33

Network > Interfaces > Edit (para ethernet2/0): Introduzca los siguientes datos y haga clic en OK:
Static IP: (seleccione) IP Address/Netmask: 10.1.1.1/24 Interface Mode: NAT
2. Interfaz ADSL y MIP

Network > Interfaces > Edit (para adsl1/0): Introduzca los siguientes datos, luego haga clic en Apply:
VPI/VCI: 0/35 Zone Name: Untrust Static IP: (seleccione) IP Address/Netmask: 1.1.1.1/24

> MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5 Host Virtual Router Name: trust-vr
3. Directiva

Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione) Any Destination Address: Address Book Entry: (seleccione), MIP (1.1.1.5) Service: HTTP Action: Permit

102

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

CLI
1. Interfaces Trust y DMZ

set set set set set set


2.

interface ethernet1/0 ip 192.168.1.1/24 interface ethernet1/0 nat interface ethernet1/0 dhcp server service interface ethernet1/0 dhcp server ip 192.168.1.3 192.168.1.33 interface ethernet2/0 ip 10.1.1.1/24 interface ethernet2/0 nat

Interfaz ADSL y MIP

set interface adsl1 pvc 0 35 zone untrust set interface adsl1/0 ip 1.1.1.1/24 set interface adsl1/0 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
3. Directiva

set policy from untrust to dmz any mip(1.1.1.5) http permit save

Ejemplo 9: (sucursal) Tnel VPN a travs de ADSL


Este ejemplo, como se muestra en la Figura 19, explica cmo configurar un tnel VPN para las oficinas centrales corporativas a travs de la interfaz ADSL en el dispositivo de seguridad y cmo permitir el acceso a Internet a servidores web locales al tiempo que protege a otros host contra el acceso directo desde Internet, segn se describe en el Ejemplo 7: (comercial pequeo) MLPPP ADSL en la pgina 98.
Figura 19: Tnel VPN a travs de la interfaz ADSL

Internet Puerta de enlace de interlocutor IKE de la empresa 2.2.2.2 10.2.2.0/24 DSLAM Zona Untrust

adsl1/0: 1.1.1.1/24 MIP 1.1.1.5 -> 10.1.1.5

Tnel 1

ethernet0/1: 192.168.1.1/24

Zona DMZ Servidor web 10.1.1.5

Zona Trust

Ejemplos de configuracin de ADSL 103

Manual de referencia de ScreenOS: Conceptos y ejemplos

Este ejemplo explica tambin cmo configurar un tnel Autokey IKE basado en rutas utilizando un secreto previamente compartido. Para los niveles de seguridad fase 1 y 2, configure pre-g2-3des-sha para la propuesta de fase 1 y el conjunto de propuestas Compatible predefinido para la fase 2. Para configurar el tnel VPN a travs de la interfaz ADSL, realice el siguiente procedimiento: 1. Configure las nterfaces Trust y DMZ. 2. Configure la interfaz ADSL y la direccin IP asignada (MIP). Establezca un PVC en la interfaz ADSL con el par 0/35 de VPI/VCI y la direccin IP esttica 1.1.1.1/24 que asign el proveedor de servicios. La interfaz Trust se asocia a la zona Trust y le asigna la direccin IP 192.168.1.1/24. Puede configurar una MIP para dirigir el trfico entrante HTTP destinado para el host 1.1.1.5 al servidor web en 10.1.1.5 de la zona DMZ. 3. Cree una interfaz de tnel y asciela a la zona de seguridad Untrust. Para crear un tnel, realice lo siguiente: a. Configure la interfaz de tnel para tomar prestada la direccin IP de la interfaz adsl1, que tambin est asociada a la zona de seguridad Untrust (sta se conoce como una interfaz sin numerar). Configure el tnel VPN, designe la interfaz adsl1 como su interfaz saliente en la zona Untrust, asciela a la interfaz de tnel y configure su ID de proxy. Introduzca una ruta en la LAN corporativa a travs de la interfaz de tnel.

b.

c.

d. Configure las directivas para el trfico VPN entre la sucursal y las oficinas centrales corporativas. 4. Cree una directiva para que pueda pasar nicamente el trfico HTTP a la zona en que reside el servidor web. (Las directivas predeterminadas habilitan todo el trfico de la zona Trust a la zona Untrust y bloquean todo el trfico de la zona Untrust a la zona Trust). WebUI
1. Interfaces Trust y DMZ

Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes datos y haga clic en OK:
Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24 Interface Mode: NAT

Network > DHCP > Edit (para ethernet0/1) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.1.3 IP Address End: 192.168.1.33

104

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

Network > Interfaces > Edit (para ethernet0/2): Introduzca los siguientes datos y haga clic en OK:
Static IP: (seleccione) IP Address/Netmask: 10.1.1.1/24 Interface Mode: NAT
2. Interfaz ADSL y MIP

Network > Interfaces > Edit (para adsl1/0): Introduzca los siguientes datos, luego haga clic en Apply:
VPI/VCI: 0/35 Zone Name: Untrust Static IP: (seleccione) IP Address/Netmask: 1.1.1.1/24

> MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5 Host Virtual Router Name: trust-vr
3. Tnel VPN

Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: adsl1 (trust-vr)

VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: To_Corp Security Level: Custom Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2 Preshared Key: h1p8A24nG5

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Security Level: Custom Phase 1 Proposal (para nivel de seguridad personalizado): pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin)

VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Branch1_Corp Security Level: Compatible Remote Gateway: Predefined: (seleccione), To_Corp

Ejemplos de configuracin de ADSL 105

Manual de referencia de ScreenOS: Conceptos y ejemplos

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de AutoKey IKE:
Security Level: Compatible Bind to: Tunnel Interface, tunnel.1 Proxy-ID: (seleccione) Local IP/Netmask: 192.168.1.1/24 Remote IP/Netmask: 10.2.2.0/24 Service: ANY

Network > Routing > Destination > trust vr > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24 Gateway: (seleccione) Interface: Tunnel.1
4. Directivas

Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione) Any Destination Address: Address Book Entry: (seleccione), MIP (1.1.1.5) Service: HTTP Action: Permit

Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Name: To_Corp Source Address: 192.168.1.1/24 Destination Address: 10.2.2.0/24 Service: ANY Action: Permit Position at Top: (seleccione)

Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Name: From_Corp Source Address: 10.2.2.0/24 Destination Address: 192.168.1.1/24 Service: ALL Action: Permit Position at Top: (seleccione)

CLI
1. Interfaces Trust y DMZ

set set set set set set 106


interface ethernet0/1 ip 192.168.1.1/24 interface ethernet0/1 nat interface ethernet0/1 dhcp server service interface ethernet0/1 dhcp server ip 192.168.1.3 192.168.1.33 interface ethernet0/2 ip 10.1.1.1/24 interface ethernet0/2 nat

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

2.

Interfaz ADSL y MIP

set interface adsl1/0 pvc 0 35 zone untrust set interface adsl1/0 ip 1.1.1.1/24 set interface adsl1/0 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr
3. Tnel VPN

set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface adsl1 set ike gateway To_Corp address 2.2.2.2 main outgoing-interface adsl1/0 preshare hlp8A24nG5 proposal pre-g2-3des-sha set vpn Branch1_Corp gateway To_Corp sec-level compatible set vpn Branch1_Corp bind interface tunnel.1 set vpn Branch1_Corp proxy-id local-ip 192.168.1.1/24 remote-ip 10.2.2.0/24 any set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1
4. Directivas

set policy from untrust to dmz any mip(1.1.1.5) http permit set policy top name To Corp from trust to untrust 192.168.1.1/24 10.2.2.0/24 any permit set policy top name From Corp from untrust to trust 10.2.2.0/24 192.168.1.1/24 any permit save

Ejemplo 10: (Sucursal) Tnel VPN secundario


Este ejemplo, como se muestra en la Figura 20, explica cmo configurar el dispositivo de seguridad como un cortafuegos con una conexin de Internet y una conexin a las oficinas centrales corporativas a travs de la interfaz ADSL. Este ejemplo es similar a la configuracin que se muestra en el Ejemplo 9: (sucursal) Tnel VPN a travs de ADSL en la pgina 103, pero crea dos PVC: uno en Internet y otro en las oficinas centrales corporativas. Tambin se configura un tnel VPN a travs de Internet hacia las oficinas centrales corporativas como una conexin secundaria. Para configurar el tnel VPN primario y secundario a travs de ADSL, realice lo siguiente: 1. Configure las interfaces Trust y DMZ. 2. Configure la interfaz ADSL y la direccin IP asignada (MIP). Establezca un PVC en la interfaz ADSL con el par 0/35 de VPI/VCI y la direccin IP esttica 1.1.1.1/24 que asign el proveedor de servicios. La interfaz Trust se asocia a la zona Trust y le asigna la direccin IP 192.168.1.1/24. Puede configurar una MIP para dirigir el trfico entrante HTTP destinado para el host 1.1.1.5 al servidor web en 10.1.1.5 de la zona DMZ. 3. Configure la zona personalizada de oficinas centrales (HQ). 4. Configure una subinterfaz ADSL. Establezca un PVC adicional en el dispositivo de seguridad creando la subinterfaz ADSL adsl1.1. La subinterfaz adsl1.1 con el valor par de 1/35 de VPI/VCI que utiliza el encapsulamiento de LLC y una instancia de PPPoE denominada poe1, que est asociada a la subinterfaz. Tendr que definir directivas para habilitar el flujo de trfico hacia y desde la zona HQ.
Ejemplos de configuracin de ADSL 107

Manual de referencia de ScreenOS: Conceptos y ejemplos

NOTA:

Puede asociar la interfaz ADSL y cada una de sus subinterfaces a diferentes zonas de seguridad; asocie la subinterfaz ADSL a la zona personalizada HQ (la interfaz principal ADSL est asociada a la zona Untrust como valor predeterminado). 5. Cree una interfaz de tnel y asciela a la zona de seguridad Untrust. Para crear un tnel, realice lo siguiente: a. Configure la interfaz de tnel para tomar prestada la direccin IP de la interfaz adsl1, que tambin est asociada a la zona de seguridad Untrust (sta se conoce como una interfaz sin numerar). Configure la puerta de enlace de IKE. Configure el tnel VPN, designe la interfaz adsl1 como su interfaz saliente en la zona Untrust, asciela a la interfaz de tnel y configure su ID de proxy.

b. c.

6. Cree una ruta virtual (trust-vr). 7. Configure las directivas para el trfico VPN entre la sucursal y las oficinas centrales corporativas. (Las directivas predeterminadas habilitan todo el trfico de la zona Trust a la zona Untrust y bloquean todo el trfico de la zona Untrust a la zona Trust).
Figura 20: Interfaz ADSL con un tnel secundario
Puerta de enlace de interlocutor IKE de la empresa 2.2.2.2 10.2.2.0/24 Zona HQ Red ATM DSLAM adsl1/0.1: PPPoE DSLAM adsl1/0: 1.1.1.1/24 MIP 1.1.1.5 -> 10.1.1.5 Internet

Zona Untrust

ethernet0/2: 10.1.1.1/24

ethernet0/1: 192.168.1.1/24

Zona DMZ

Servidor web 10.1.1.1/24

Zona Trust

108

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

Debido a que tiene dos rutas distintas entre las estaciones de trabajo en la zona Trust y las oficinas centrales corporativas, una utilizando la interfaz adsl1.1 y otra utilizando la interfaz de tnel VPN, tendr que especificar cul es su ruta preferida. Esto se realiza ajustando la mtrica para la ruta a travs del tnel VPN ms alta que la ruta a travs de la interfaz de adsl1.1. WebUI
1. Interfaces Trust y DMZ

Network > Interfaces > Edit (para ethernet0/1): Introduzca los siguientes datos y haga clic en OK:
Static IP: (seleccione) IP Address/Netmask: 192.168.1.1/24 Interface Mode: NAT

Network > DHCP > Edit (para ethernet0/1) > DHCP Server: Seleccione Apply. > Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.1.3 IP Address End: 192.168.1.33

Network > Interfaces > Edit (para ethernet0/2): Introduzca los siguientes datos y haga clic en OK:
Static IP: (seleccione) IP Address/Netmask: 10.1.1.1/24 Interface Mode: NAT
2. Interfaz ADSL y MIP

Network > Interfaces > Edit (para adsl1/0): Introduzca los siguientes datos, luego haga clic en Apply:
VPI/VCI: 0/35 Zone Name: Untrust Static IP: (seleccione) IP Address/Netmask: 1.1.1.1/24

> MIP > New: Introduzca los siguientes datos y haga clic en OK:
Mapped IP: 1.1.1.5 Netmask: 255.255.255.255 Host IP Address: 10.1.1.5 Host Virtual Router Name: trust-vr
3. Zona HQ

Network > Zones > New: Introduzca los siguientes datos y haga clic en OK:
Zone Name: HQ Block Intra-Zone Traffic: (seleccione)

Ejemplos de configuracin de ADSL 109

Manual de referencia de ScreenOS: Conceptos y ejemplos

4.

Subinterfaz ADSL

Network > Interfaces > New ADSL Sub-IF: Introduzca los siguientes datos y haga clic en OK:
Interface Name: adsl1/0.1 VPI/VCI: 1/35 Encapsulation: LLC (seleccionado) Zone: HQ (seleccione)

Network > PPPoE > New: Introduzca los siguientes datos y haga clic en OK:
PPPoE Instance: poe1 Bound to Interface: adsl1/0.1 (seleccione) Username: felix Password: ioP936QNlwab48Rc
5. Tnel VPN

Network > Interfaces > New Tunnel IF: Introduzca los siguientes datos y haga clic en OK:
Tunnel Interface Name: tunnel.1 Zone (VR): Untrust (trust-vr) Unnumbered: (seleccione) Interface: adsl1 (trust-vr)

VPNs > AutoKey Advanced > Gateway > New: Introduzca los siguientes datos y haga clic en OK:
Gateway Name: To_Corp Security Level: Custom Remote Gateway Type: Static IP Address: (seleccione), IP Address/Hostname: 2.2.2.2 Preshared Key: h1p8A24nG5

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de puerta de enlace:
Security Level: Custom Phase 1 Proposal (para nivel de seguridad personalizado): pre-g2-3des-sha Mode (Initiator): Main (Proteccin de la identificacin)

VPNs > AutoKey IKE > New: Introduzca los siguientes datos y haga clic en OK:
VPN Name: Branch1_Corp Security Level: Compatible Remote Gateway: Predefined: (seleccione), To_Corp

110

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

> Advanced: Introduzca los siguientes ajustes avanzados y haga clic en Return para regresar a la pgina de configuracin bsica de AutoKey IKE:
Security Level: Compatible Bind to: Tunnel Interface, tunnel.1 Proxy-ID: (seleccione) Local IP/Netmask: 192.168.1.1/24 Remote IP/Netmask: 10.2.2.0/24 Service: ANY
6. Rutas

Network > Routing > Destination > trust vr > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24 Gateway: (seleccione) Interface: adsl1.1 Metric: 1

Network > Routing > Destination > trust vr > New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 10.2.2.0/24 Gateway: (seleccione) Interface: Tunnel.1 Metric: 5
7. Directivas

Policies (From: Trust, To: HQ) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione) Any Destination Address: Address Book Entry: (seleccione) Any Service: ANY Action: Permit

Policies (From: HQ, To: Trust) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione) Any Destination Address: Address Book Entry: (seleccione) Any Service: ANY Action: Permit

Policies (From: DMZ, To: HQ) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione) Any Destination Address: Address Book Entry: (seleccione) Any Service: ANY Action: Permit
Ejemplos de configuracin de ADSL 111

Manual de referencia de ScreenOS: Conceptos y ejemplos

Policies (From: HQ, To: DMZ) > New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione) Any Destination Address: Address Book Entry: (seleccione) Any Service: ANY Action: Permit

Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione) Any Destination Address: Address Book Entry: (seleccione), MIP (1.1.1.5) Service: HTTP Action: Permit

Policies > (From: Trust, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Name: To_Corp Source Address: 192.168.1.1/24 Destination Address: 10.2.2.0/24 Service: ANY Action: Permit Position at Top: (seleccione)

Policies > (From: Untrust, To: Trust) New: Introduzca los siguientes datos y haga clic en OK:
Name: From_Corp Source Address: 10.2.2.0/24 Destination Address: 192.168.1.1/24 Service: ALL Action: Permit Position at Top: (seleccione)

CLI
1. Interfaces Trust y DMZ

set set set set set set


2.

interface ethernet0/1 ip 192.168.1.1/24 interface ethernet0/1 nat interface ethernet0/1 dhcp server service interface ethernet0/1 dhcp server ip 192.168.1.3 192.168.1.33 interface ethernet0/2 ip 10.1.1.1/24 interface ethernet0/2 nat

Interfaz ADSL y MIP

set interface adsl1/0 pvc 0 35 zone untrust set interface adsl1/0 ip 1.1.1.1/24 set interface adsl1/0 mip 1.1.1.5 host 10.1.1.5 netmask 255.255.255.255 vrouter trust-vr

112

Ejemplos de configuracin de ADSL

Captulo 2: Lnea de abonado digital

3.

Zona HQ

set zone name HQ set zone HQ block set zone HQ vrouter trust-vr
4. Subinterfaz ADSL

set interface adsl1/0.1 pvc 1 35 mux llc zone HQ set pppoe name poe1 username felix password ioP936QNlwab48Rc set pppoe name poe1 interface adsl1/0.1
5. Tnel VPN

set interface tunnel.1 zone untrust set interface tunnel.1 ip unnumbered interface adsl1/0 set ike gateway To_Corp address 2.2.2.2 main outgoing-interface adsl1/0 preshare hlp8A24nG5 proposal pre-g2-3des-sha set vpn Branch1_Corp gateway To_Corp sec-level compatible set vpn Branch1_Corp bind interface tunnel.1 set vpn Branch1_Corp proxy-id local-ip 192.168.1.1/24 remote-ip 10.2.2.0/24 any
6. Rutas

set vrouter trust-vr route 10.2.2.0/24 interface adsl1/0.1 metric 1 set vrouter trust-vr route 10.2.2.0/24 interface tunnel.1 metric 5
7. Directivas

set policy from trust to HQ any any any permit set policy from HQ to trust any any any permit set policy from dmz to HQ any any any permit set policy from HQ to dmz any any any permit set policy from untrust to dmz any mip(1.1.1.5) http permit set policy top name To Corp from trust to untrust 192.168.1.1/24 10.2.2.0/24 any permit set policy top name From Corp from untrust to trust 10.2.2.0/24 192.168.1.1/24 any permit save

Ejemplos de configuracin de ADSL 113

Manual de referencia de ScreenOS: Conceptos y ejemplos

114

Ejemplos de configuracin de ADSL

Captulo 3

Conmutacin por error de ISP y recuperacin por acceso telefnico


Los dispositivos que admiten la conmutacin por error de ISP y la recuperacin por acceso telefnico tienen un puerto de serie auxiliar (para un mdem externo V.92) o un puerto RDSI BRI o un puerto de mdem analgico V.92 incorporado. En algunos modelos, estas funciones estn disponibles como opciones mini-PIM. Estos puertos generalmente se utilizan como puertos de respaldo cuando falla la conexin principal (puerto Ethernet). La conexin principal suele ser un mdem ADSL al ISP con conectividad de Ethernet al dispositivo de seguridad. La monitorizacin de VPN o los fallos de los puertos fsicos son dos ejemplos tpicos de cmo se dispara la conmutacin por error a la interfaz de respaldo. Este captulo consta de las siguientes secciones:

Ajuste de prioridad de ISP para conmutacin por error en esta pgina Definicin de condiciones para conmutacin por error de ISP en la pgina 116 Configuracin de una solucin de recuperacin por acceso telefnico en la pgina 117

Ajuste de prioridad de ISP para conmutacin por error


Usted, como administrador raz (no administrador fiduciario), puede configurar un total de cuatro ISP. La prioridad de cada ISP debe ser un nmero nico. Tambin puede configurar una o ms entradas de ISP con una prioridad de cero para realizar pruebas (supervisin); sin embargo, cualquier entrada ISP asignada a cero no se utilizar para conmutacin por error. Cuando utilice una conexin de mdem, un administrador fiduciario puede cambiar manualmente una prioridad ISP. Si ocurre una conmutacin por error, la prioridad asignada a un ISP indica en qu orden se contactar ese ISP particular con respecto a otros ISP. Cuanto ms bajo sea el valor, ms alta ser la prioridad del ISP. Los administradores fiduciarios tambin pueden revisar la disponibilidad de un ISP con un ajuste de prioridad de cero (0). WebUI Home > Interface link status: Haga clic en Edit. Luego haga clic en ISP para la interfaz serie.

Ajuste de prioridad de ISP para conmutacin por error

115

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI
set interface serial0/0 modem isp pac-bell-1 priority 1 set interface serial0/0 modem isp pac-bell-1 primary-number 555-55-55 alternative-number 666-66-66 set interface serial0/0 modem isp pac-bell-1 account login rbrockie password !2007ah set interface serial0/0 modem isp pac-bell-2 priority 2 set interface serial0/0 modem isp pac-bell-2 primary-number 777-77-77 alternative-number 888-88-88 set interface serial0/0 modem isp pac-bell-2 account login rbrockie password !2007ah save

Definicin de condiciones para conmutacin por error de ISP


Despus de configurar la informacin y las prioridades de ISP, puede supervisar selectivamente una ruta en untrust-vr que pueda activar una conmutacin por error a la siguiente prioridad ISP ms alta (junto al siguiente nmero de prioridad ms bajo) cuando la ruta supervisada desaparezca de la tabla de enrutamiento untrust-vr. Cuando ocurre la conmutacin por error a ISP 2, no significa necesariamente que ISP 1 se desactiv o fall. Significa que una ruta especfica a la que desea obtener acceso que est ms all de ISP 1 ya no est disponible y desea que el dispositivo espere una cantidad especfica de segundos antes de darse por vencido y llamar al ISP de respaldo. Para utilizar esta caracterstica, se especifica una ruta especfica con una direccin IP que aparece actualmente en untrust-vr. Opcionalmente, puede especificar el nmero de segundos que el dispositivo esperar antes de llamar al ISP de respaldo. El tiempo de espera predeterminado es de 30 segundos. En el ejemplo anterior, usted, como administrador de raz, configura un ISP de prioridad 1 y un ISP de respaldo. En este ejemplo, establece el dispositivo de seguridad para que supervise la ruta 1.1.1.1/24, que ha identificado como una ruta interesante o importante. Esta ruta existe actualmente en untrust-vr. Usted establece el tiempo de espera en 100 segundos. Debe utilizar el CLI para establecer qu ruta en Untrust-vr desea supervisar. Si la ruta especificada no est disponible, ocurrir una conmutacin por error al siguiente ISP (prioridad 2). WebUI Home > Interface link status: Haga clic en Edit. Luego, haga clic en ISP Failover para la interfaz serie. CLI
set interface serial0/0 modem isp-failover holddown 100 set interface serial0/0 modem isp-failover type route vrouter untrust-vr 1.1.1.1/24 save

116

Definicin de condiciones para conmutacin por error de ISP

Captulo 3: Conmutacin por error de ISP y recuperacin por acceso telefnico

Configuracin de una solucin de recuperacin por acceso telefnico


Puede configurar una solucin de recuperacin de desastres de acceso telefnico para su red configurando los siguientes elementos:

Dispositivo de seguridad Mdem o adaptador de terminal (TA) RDSI Mecanismo de activacin de conmutacin por error de la interfaz Mtodo para dispositivos distantes (otro enrutador o dispositivo de cortafuegos) para identificar una ruta de retorno al dispositivo de envo

Puede elegir uno de los tres diferentes mecanismos de conmutacin por error para activar una conmutacin por error de la interfaz:

Track IP supervisa la disponibilidad de una direccin IPv4 especificada para determinar la conmutacin por error. Para utilizar el seguimiento de IP, introduzca el comando set interface interfaz backup interface serial0/0 type track-ip (donde interfaz es la interfaz principal). Tunnel tracking supervisa el estado del tnel VPN para determinar la conmutacin por error. Para realizar el seguimiento por interfaz Tunnel, introduzca el comando set interface interfaz backup interface serial0/0 type tunnel-if (donde interfaz es la interfaz principal). Route tracking supervisa el estado de una ruta conocida. Un protocolo de enrutamiento dinmico, como BGP u OSPF, puede transmitir la entrada de la ruta. Si se pierde una adyacencia de BGP, el dispositivo de seguridad elimina todas las rutas aprendidas de ese intelocutor BGP. Si la entrada de la ruta no est activa durante un perodo que sobrepase el tiempo de espera, el dispositivo de seguridad activa una conmutacin por error con una interfaz de respaldo. Esta funcin requiere de una concordancia exacta de direccin con una ruta activa en la tabla de enrutamiento del vrouter especificado para evitar la conmutacin por error. Para lograr una conmutacin por error por ruta, introduzca el comando set interface interfaz backup interface serial0/0 type route vroute untrust 1.1.1.1/24 (donde interfaz es la interfaz principal y 1.1.1.1 es la direccin IP de la ruta de supervisin).

En el siguiente ejemplo (consulte la Figura 21), un equipo ubicado en el centro de la ciudad de San Jos, California, se conecta en red a un servidor ubicado en una oficina remota en otra parte de San Jos. El dispositivo de seguridad siempre utiliza tunnel.1, un tnel VPN asociado a ethernet3 (e3), para enviar trfico desde el equipo (PC) a travs de Internet al cortafuegos y as obtener acceso a un servidor remoto. El trfico utiliza rutas estticas y supervisin del VPN (ajustes predeterminados). Tunnel.1 tiene una mtrica de 1, lo cual asegura que siempre ser la ruta favorita hacia el cortafuegos; el tunnel.2 tiene una mtrica mayor, 180, para que no se convierta en una ruta preferida.

Configuracin de una solucin de recuperacin por acceso telefnico 117

Manual de referencia de ScreenOS: Conceptos y ejemplos

Si tunnel.1 se desactiva, el dispositivo de seguridad acude a tunnel.2, asociado a la interfaz serie, para establecer contacto con el cortafuegos. En este ejemplo, preferimos utilizar el seguimiento de tneles en lugar del seguimiento de IP para lograr la conmutacin por error de la interfaz. Con el seguimiento de IP, si el vnculo se desactiva, ocurre la conmutacin por error, pero no se podr informar si la conmutacin por error ocurri debido a que el tnel VPN est actualmente desactivado o no. La funcin de seguimiento de tnel se conmuta por error nicamente cuando se desactiva la interfaz de tnel asociada a la interfaz Untrust principal. La interfaz Untrust principal puede fallar si un cable est desconectado o si el monitor de la VPN se activa, lo cual tambin significa que el tnel ha fallado. La interfaz (serie) tunnel.2 del dispositivo de seguridad utiliza una direccin IP asignada a un ISP para conectarse al cortafuegos a travs de RDSI. La conmutacin por error se establece en auto para que cuando la interfaz se pueda volver a utilizar, ocurra una recuperacin por error del tunnel.1. La supervisin de VPN se activa mediante el comando set vpn nombre monitor rekey. Si es necesario, puede elegir cambiar el intervalo predeterminado y los ajustes de umbrales mediante el comando set vpnmonitor { interval | threshold }. Puede ver los ajustes de la supervisin de VPN mediante el comando get vpnmonitor.
Figura 21: Configuracin de recuperacin de acceso telefnico
Enrutador1 11.11.11.11 e3 Dispositivo remoto de seguridad tunnel.2 (conexin serie) 193.60.60.20 (direccin IP asignada por ISP) PC Servidor tunnel.1 Internet Enrutador2 12.12.12.12 Cortafuegos 13.13.13.13

A continuacin se incluye la configuracin del dispositivo de seguridad remoto segn se indica en la Figura 21. WebUI
Configure las interfaces de serie y tnel

Network > Interfaces: Seleccione Edit para la interfaz de serie y asocie la interfaz a la zona Untrust. Haga clic en Apply. Network > Interfaces: Seleccione New para una interfaz de tnel (tunnel.1) y asocie la interfaz a la zona Untrust. Configure los ajustes segn corresponda y haga clic en Apply. Network > Interfaces: Seleccione New para una interfaz de tnel (tunnel.2) y asocie la interfaz a la zona Untrust. Configure los ajustes segn corresponda y haga clic en Apply.

118

Configuracin de una solucin de recuperacin por acceso telefnico

Captulo 3: Conmutacin por error de ISP y recuperacin por acceso telefnico

Establezca las mtricas y rutas estticas

Network > Routing > Destination: Seleccione la ruta New para untrust-vr; establezca la direccin IP, informacin de puerta de enlace y mtrica, luego haga clic en OK. Network > Routing > Destinations: Seleccione la ruta New para untrust-vr, establezca la direccin IP del ISP asignado para la conexin serial, informacin de la puerta de enlace (si corresponde), mtrica (nmero ms alto que la entrada anterior) y haga clic en OK.
Establezca la puerta de enlace de IKE

VPNs > AutoKey IKE > Edit: Introduzca los requisitos de IKE y haga clic en OK.
Asocie las VPN a las puertas de enlace IKE

VPNs > AutoKey IKE > Edit: Seleccione Advanced y asocie la VPN a la puerta de enlace IKE para tunnel.1. Haga clic en OK. VPNs > AutoKey IKE > Edit: Seleccione Advanced y asocie la VPN a la puerta de enlace IKE para tunnel.2. Haga clic en OK.
Configure la conmutacin por error de la interfaz

Configure desde CLI.


Configure los ajustes del puerto del mdem en banda

Interfaz > de red (Mdem)


Ajuste de la cuenta ISP principal

Interfaz > de red (ISP) CLI


Configure las interfaces de serie y tnel

set interface serial0/0 zone untrust set interface ethernet0/3 zone untrust set interface ethernet0/3 ip 111.11.11.10/24 set interface tunnel.1 ip unnumbered interface ethernet0/3 set interface serial0/0 ip 193.60.60.19/24 set interface tunnel.2 ip unnumbered interface serial0/0
Establezca las mtricas y rutas estticas

set route 0.0.0.0/0 interface ethernet0/3 metric 1 set route 0.0.0.0/0 interface serial0/0 metric 180
Establezca la puerta de enlace de IKE

set ike gateway eth address 13.13.13.13 Main outgoing-interface ethernet0/3 preshare 123qwe! sec-level standard set ike gateway serial address 13.13.13.13 Main outgoing-interface serial0/0 preshare 123qwe! sec-level standard

Configuracin de una solucin de recuperacin por acceso telefnico 119

Manual de referencia de ScreenOS: Conceptos y ejemplos

Asocie las VPN a las puertas de enlace IKE

set vpn eth gateway eth no-replay tunnel idletime 0 sec-level standard set vpn eth monitor rekey set vpn eth id 1 bind interface tunnel.1 set vpn serial gateway serial no-replay tunnel idletime 0 sec-level standard set vpn serial monitor rekey set vpn serial id 2 bind interface tunnel.2
Configure la conmutacin por error de la interfaz

set interface ethernet0/3 backup interface serial0/0 type tunnel-if set interface ethernet0/3 backup deactivation-delay 5 set interface ethernet0/3 backup activation-delay 5 set interface ethernet0/3 backup auto set vpn eth backup-weight 100
Configure los ajustes del puerto del mdem en banda

set interface serial0/0 modem settings port-1 init-strings AT&F set interface serial0/0 modem settings port-1 active
Ajuste de la cuenta ISP principal

set interface serial0/0 modem isp isp-1 priority 1 set interface serial0/0 modem isp isp-1 primary-number 555-55-55 alternative-number 666-66-66 set interface serial0/0 modem isp isp-1 account login rbrockie pass !2007ah

120

Configuracin de una solucin de recuperacin por acceso telefnico

Captulo 4

Red de rea local inalmbrica


Los dispositivos y sistemas inalmbricos de Juniper Networks ofrecen conexiones de red de rea local inalmbrica (WLAN) con servicios integrados de red privada virtual de seguridad de protocolo de Internet (IPsec VPN) y de cortafuegos para clientes que utilizan servicios inalmbricos, como teletrabajadores, sucursales o establecimientos minoristas. Este captulo explica cmo configurar las interfaces inalmbricas y proporciona ejemplos de configuraciones. Este captulo consta de las siguientes secciones:

Vista general en la pgina 122 Configuracin bsica de la funcin de red inalmbrica en la pgina 123 Configuracin de la autenticacin y la encriptacin para SSID en la pgina 128 Especificacin del uso de la antena en la pgina 137 Configuracin del cdigo de pas, canal y frecuencia en la pgina 138 Uso de canales extendidos en la pgina 138 Realizacin de un sondeo del sitio en la pgina 139 Localizacin de los canales disponibles en la pgina 139 Configuracin de entradas de lista de control de acceso en la pgina 140 Configuracin de Super G en la pgina 141 Configuracin de Atheros XR (rango extendido) en la pgina 141 Configuracin de la calidad de servicio multimedia de Wi-Fi en la pgina 142 Configuracin de los parmetros inalmbricos avanzados en la pgina 147 Trabajo con interfaces inalmbricas en la pgina 153

121

Manual de referencia de ScreenOS: Conceptos y ejemplos

Visualizacin de la Informacin de configuracin inalmbrica en la pgina 155 Ejemplos de configuracin en la pgina 156

Vista general
Los sistemas y dispositivos de seguridad inalmbrica conectan a los usuarios inalmbricos u otros dispositivos inalmbricos a redes de cables o inalmbricas. Un dispositivo que permite que un dispositivo inalmbrico acceda a una red de rea local es un punto de acceso inalmbrico (AP). Las funciones enumeradas en este captulo requieren sistemas o dispositivos de seguridad con interfaces inalmbricas incorporadas.

NOTA:

Todas las plataformas inalmbricas pueden admitir hasta cuatro interfaces inalmbricas activas al mismo tiempo. ScreenOS se ejecuta en dispositivos de seguridad inalmbricos para proporcionar servicios de cortafuegos y enrutamiento con sus redes de cables existentes o planificadas. Al igual que con las interfaces de cables, puede configurar lo siguiente para una interfaz inalmbrica:

Direccin IP/mscara de red y gestionar la direccin IP Opciones de administracin, tal como WebUI, SNMP, Telnet, SSH o SSL Traduccin de direcciones Proxy de servicios de nombres de dominio (DNS) WebAuth Funcionalidad del servidor de protocolo de configuracin de host dinmico (DHCP) (no es compatible con la funcionalidad de retransmisin o cliente de DHCP)

NOTA:

Consulte el Volumen 2: Fundamentos y el Volumen 8: Traduccin de direcciones. Las siguientes funciones de ScreenOS inalmbrico le permiten administrar y asegurar una WLAN:

Hasta cuatro WLAN por sistema Hasta 16 identificadores de conjunto de servicio (SSID)

122

Vista general

Captulo 4: Red de rea local inalmbrica

Autenticacin

Abierta Privacidad equivalente a cable (WEP) (clave compartida) WEP (802.1X) Acceso protegido de Wi-Fi (WPA) (clave previamente compartida) WPA (802.1X) WPA2 (clave previamente compartida) WPA2 (802.1X)

Encriptacin

Advanced Encryption Standard (AES) Protocolo de integridad de clave temporal (TKIP) WEP

Funcin de calidad del servicio de Wi-Fi Multimedia (WMM) Modo turbo con casi el doble de rendimiento por banda de radio

NOTA:

Consulte la hoja de datos que viene con el producto para conocer las declaraciones de capacidad.

Diferencias de denominacin de interfaz de producto inalmbrico


Los productos inalmbricos admiten hasta cuatro WLAN. La introduccin de comandos en WebUI y en CLI difiere de un producto a otro. Algunos productos inalmbricos tienen dos transceptores de radio:

2,4 GHz (WAN 0) 5 GHz (WAN 1)

Los parmetros especficos del transceptor aparecen automticamente en WebUI o CLI.

Configuracin bsica de la funcin de red inalmbrica


Se deben configurar determinadas funciones inalmbricas, pero otras funciones son opcionales. Sin embargo, cada vez que cambia a una interfaz inalmbrica, debe reactivar WLAN (para obtener ms informacin, consulte Reactivacin de una configuracin WLAN en la pgina 128).

Configuracin bsica de la funcin de red inalmbrica 123

Manual de referencia de ScreenOS: Conceptos y ejemplos

Esta seccin contiene lo siguiente:


Creacin de un identificador de conjunto de servicios en la pgina 124 Configuracin del modo de funcionamiento para un transceptor de 2,4 GHz en la pgina 125 Configuracin del modo de funcionamiento para un transceptor de 5 GHz en la pgina 126 Reactivacin de una configuracin WLAN en la pgina 128

Creacin de un identificador de conjunto de servicios


Una red inalmbrica se identifica por medio un identificador de conjunto de servicios (SSID). SSID le permite actualizar varias WLAN con un dispositivo de seguridad inalmbrico. Debe asociar un SSID a una interfaz inalmbrica que est asociada a una zona de seguridad. SSID es un nombre nico que puede ser hasta de 32 caracteres de texto de longitud. Para utilizar espacios en el nombre, debe incluir el nombre entre comillas dobles.

NOTA:

No existen limitaciones en el nmero de interfaces inalmbricas del dispositivo de seguridad cuando se crean SSID. Puede tener ms SSID que el nmero de interfaces inalmbricas. Puede asociar un mximo de cuatro SSID a interfaces inalmbricas. Puede activar WLAN especficas de sitio o tiempo vinculando y desvinculando SSID a interfaces inalmbricas a medida que la red necesite cambios. En el siguiente ejemplo, se configura un SSID con el nombre Mi red domstica. Para aumentar la seguridad, puede hacer el nombre ms difcil de adivinar y no incluir la ubicacin del dispositivo en el nombre de SSID. WebUI Wireless > SSID > New: Introduzca el nombre en el campo SSID y haga clic en OK. CLI
set ssid name Mi red domstica

Supresin de difusin de SSID


Despus de crear un SSID, puede desactivar su difusin en balizas emitidas por el dispositivo de seguridad. Si la difusin de SSID est inhabilitada, nicamente los clientes inalmbricos que conocen el SSID se pueden asociar. De forma predeterminada, los SSID se transmiten en balizas. Para suprimir una difusin de SSID, utilice uno de los siguientes procedimientos: WebUI Wireless > SSID > Edit (para cadena_nombre): Seleccione Disable SSID Broadcast, luego haga clic en OK.

124

Configuracin bsica de la funcin de red inalmbrica

Captulo 4: Red de rea local inalmbrica

CLI
set ssid cadena_nombre ssid-suppression

Aislamiento de un cliente
Al aislar el cliente, se impide que los clientes inalmbricos de una misma subred se comuniquen directamente entre ellos. Esto obliga a que los clientes se comuniquen a travs del cortafuegos. De forma predeterminada, esta opcin est desactivada. Para impedir que los clientes que utilizan servicios inalmbricos de la misma subred se comuniquen directamente entre s, utilice uno de los siguientes procedimientos: WebUI Wireless > SSID > Edit (para cadena_nombre): Seleccione SSID Client Isolation, luego haga clic en OK. CLI
set ssid cadena_nombre client-isolation enable

Configuracin del modo de funcionamiento para un transceptor de 2,4 GHz


Puede configurar WLAN 0 para funcionar en uno de los siguientes modos:

modo 802.11b (11b) modo 11g con compatibilidad de 802.11b (11g) modo 11g sin compatibilidad de 802.11b (solamente 11g) Modo turbo esttico slo 11g

El modo 11g sin compatibilidad de la opcin 802.11b (slo 11g) evita que el dispositivo de seguridad se asocie con clientes 802.11b. Cuando se selecciona la opcin 11g, el dispositivo permite la asociacin con clientes 802.11b y 802.11g. La opcin 11b configura el dispositivo para permitir la asociacin nicamente con clientes 802.11b. El modo Turbo es una opcin de alto rendimiento.

NOTA:

Cuando el modo turbo est activado para el dispositivo de seguridad, nicamente podrn conectarse los clientes compatibles con 11g-turbo. El modo predeterminado se establece en 802.11 g; este modo admite a los clientes 802.11g y 802.11b. Para establecer el modo de funcionamiento a 802.11g, utilice uno de los siguientes procedimientos: WebUI Wireless > WLAN > General Settings: Seleccione 802.11g de la lista Operating Mode, luego haga clic en Apply. (Si el dispositivo de seguridad tiene ms de una radio, realice la seleccin para la radio de 2,4 GHz ).

Configuracin bsica de la funcin de red inalmbrica 125

Manual de referencia de ScreenOS: Conceptos y ejemplos

CLI Para establecer el modo de funcionamiento a 802.11g para un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan mode 11g

Para establecer el modo de funcionamiento en 802.11g para un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 0 mode 11g

Configuracin del modo de funcionamiento para un transceptor de 5 GHz


Puede configurar WLAN 1, el transceptor 5 GHz, para funcionar en el modo 802.11a o en modo Turbo. El modo 802.11a funciona dentro de una banda de frecuencia de 5 GHz y es el modo de funcionamiento predeterminado.

NOTA:

Cuando el modo turbo est activado para el dispositivo de seguridad, nicamente podrn conectarse los clientes compatibles con 11g-turbo. Al activar el modo turbo, puede aumentar el rendimiento de las descargas. En el siguiente ejemplo, activa el modo turbo para WLAN 1. WebUI Wireless > WLAN > General Settings: Seleccione Turbo de la lista Operating Mode, luego haga clic en Apply. CLI Para activar el modo turbo para WLAN 1, introduzca el siguiente comando:
set wlan 1 mode turbo

Configuracin de la velocidad mnima de transmisin de datos


Es posible establecer la velocidad mnima de transmisin de datos en megabits por segundo (Mbps) para enviar tramas. La velocidad de transmisin de datos depende del tipo de radio y puede ser una de los siguientes.

802.11a: 6, 9, 12, 18, 24, 36, 48, 54 802,11a con XR activado: 0.25, 0.5, 3, 6, 9, 12, 18, 24, 36, 48, 54 802.11b: 1, 2, 5.5, 11 802.11g: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, 54 802.11g con XR activado: 0.25, 0.5, 1, 2, 3, 5.5, 11, 6, 9, 12, 18, 24, 36, 48, 54 Si el modo turbo est activado: 12, 18, 24, 36, 48, 72, 96, 108

126

Configuracin bsica de la funcin de red inalmbrica

Captulo 4: Red de rea local inalmbrica

La velocidad auto, que es el valor predeterminado, utiliza la mejor velocidad primero y luego cae automticamente a la siguiente velocidad si falla la transmisin. Para configurar la velocidad de transmisin de datos, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings: Seleccione la velocidad de la lista Transmit Data Rate (si el dispositivo de seguridad tiene ms de una radio, realice la seleccin para la radio que desea). CLI Para establecer la velocidad de transmisin de datos a 11 Mbps en un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan transmit rate 11

Para establecer la velocidad de transmisin de datos a 54 Mbps para la radio de 5 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 1 transmit rate 54

Configuracin de la potencia de la transmisin


Puede establecer la potencia de la transmisin y ajustar el rango de la radio para el dispositivo de seguridad. Puede establecer el nivel de potencia a un octavo, completo, mitad, mnimo o cuarto de la potencia mxima de transmisin, que es la potencia mxima permitida en el pas en el que opera el dispositivo de seguridad. El valor predeterminado es la potencia completa. Para configurar la potencia de la transmisin, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings: Seleccione el nivel de potencia en la lista Transmit Power (si el dispositivo de seguridad tiene ms de una radio, realice la seleccin para la radio que desea). CLI Para establecer la potencia de transmisin a la mitad en un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan transmit power half

Para establecer la potencia de transmisin a la mitad para la radio de 5 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 1 transmit power half

Configuracin bsica de la funcin de red inalmbrica 127

Manual de referencia de ScreenOS: Conceptos y ejemplos

Reactivacin de una configuracin WLAN


Despus de realizar algunos cambios en la configuracin WLAN, debe reactivar el subsistema WLAN dentro del dispositivo, el cual reinicia las interfaces inalmbricas. Cualquier cambio que se realice en la configuracin, relacionado con WLAN estar vigente nicamente despus de que se haya reactivado este subsistema. Dependiendo de la red, el proceso de reactivacin puede tardar hasta 60 segundos o ms para completarse. El trfico inalmbrico se interrumpe y se terminan todas las sesiones de clientes inalmbricos. Los clientes inalmbricos se deben volver a conectar a la red inalmbrica para restablecer la conectividad. Para reactivar el sistema, utilice uno de los siguientes procedimientos: WebUI Para dispositivos de seguridad con una radio: Wireless > Activate Changes: Haga clic en el botn Activate Changes. Para dispositivos de seguridad con dos radios: Haga clic en el botn Activate Changes en la parte superior de cualquier pgina inalmbrica. CLI Para reactivar WLAN, introduzca el siguiente comando:
exec wlan reactivate

Configuracin de la autenticacin y la encriptacin para SSID


Los ajustes para autenticacin y encriptacin son especficos para cada SSID. Puede configurar diferentes preferencias de autenticacin y encriptacin para cada SSID. ScreenOS es compatible con los siguientes mecanismos de autenticacin y encriptacin para WLAN:

Autenticacin

Abierto WEP (clave compartida) WEP (802.1X) WPA (clave compartida) WPA (802.1X) WPA2 (clave previamente compartida) WPA2 (802.1X)

128

Configuracin de la autenticacin y la encriptacin para SSID

Captulo 4: Red de rea local inalmbrica

Encriptacin

Nombra de encriptacin avanzada (AES) Protocolo de integridad de clave temporal (TKIP) WEP

Las siguientes secciones describen WEP, WPA y WPA2 y explican cmo configurarlos en un SSID. Para obtener informacin sobre EAP y 802.1X, consulte Autenticacin extensible para interfaces inalmbricas y Ethernet en la pgina 9-93.

Configuracin de la privacidad equivalente a cable


La privacidad equivalente a cable (WEP) ofrece confidencialidad en las comunicaciones inalmbricas. Utiliza el algoritmo cifrado de flujo Rivest Cipher 4 (RC4) para encriptar y desencriptar datos a medida que recorre el enlace inalmbrico. Puede almacenar la clave de WEP localmente o negociar una clave dinmicamente con un servidor de autenticacin externo. Los clientes que utilizan servicios inalmbricos a su vez, almacenan esta clave en sus sistemas. ScreenOS admite dos longitudes de clave WEP: 40 y 104 bits. Las claves se combinan con un vector de inicializacin (IV) de 24 bits, las longitudes resultantes son 64 y 128 bits.

NOTA:

Algunos clientes que utilizan servicios inalmbricos de terceros incluyen los 24 bits de los IV cuando especifican sus longitudes de clave WEP. Para evitar problemas de conectividad, recuerde que la misma longitud de clave WEP descrita como 40 o 104 bits en el dispositivo inalmbrico podra tener la misma longitud que una clave descrita como 64 o 128 bits en un cliente.

Varias claves WEP


Puede crear hasta cuatro claves WEP por SSID. Si crea nicamente una clave WEP, el dispositivo de seguridad utiliza esa clave para autenticar los clientes inalmbricos en ese SSID y para encriptar y desencriptar el trfico enviado entre s mismo y los clientes. Tambin puede definir varias claves WEP en el dispositivo inalmbrico, hasta cuatro claves para un solo SSID. Al utilizar varias claves, podr ajustar el nivel de seguridad de distintos clientes que utilizan servicios inalmbricos dentro del mismo SSID. Puede utilizar claves ms largas para proporcionar mayor seguridad en caso de que haya ms trfico y claves ms cortas para reducir el nivel mximo de procesamiento para el trfico menos crtico. Los dispositivos inalmbricos utilizan la clave WEP especificada como default para encriptar y otra clave (o la clave predeterminada nuevamente) para autenticar y desencriptar. Si no especifica una clave como la predeterminada, la primera clave que defina ser la predeterminada.

Configuracin de la autenticacin y la encriptacin para SSID

129

Manual de referencia de ScreenOS: Conceptos y ejemplos

Tenga en cuenta lo siguiente acerca del almacenamiento de la clave WEP y de los nmeros de identificacin de la clave:

Cuando los clientes utilizan una clave WEP nica, creada dinmicamente desde un servidor RADIUS externo, el dispositivo inalmbrico utiliza esta clave nica especfica, que tambin se recibe desde el servidor RADIUS, para comunicacin bi-direccional. Cuando los clientes que utilizan servicios inalmbricos utilizan claves WEP definidas estticamente y almacenadas localmente en el dispositivo inalmbrico, el dispositivo utiliza la clave predeterminada para encriptar todo el trfico inalmbrico que se transmite. Los clientes tambin deben tener esta clave cargada para poder desencriptar trfico del dispositivo inalmbrico. Si almacena mltiples claves WEP en el dispositivo inalmbrico, la identificacin de la clave predeterminada puede ser 1, 2, 3 o 4. Si almacena algunas claves WEP en el dispositivo inalmbrico y utiliza claves WEP creadas dinmicamente desde un servidor RADIUS externo, la identificacin para la clave WEP predeterminada en el dispositivo inalmbrico no puede ser 1, porque el servidor RADIUS utiliza 1 como la identificacin de todas sus claves. El dispositivo inalmbrico puede utilizar una clave WEP predeterminada con la identificacin de clave 2, 3 4 para encriptar y puede utilizar una clave WEP definida estticamente con la identificacin 1, 2, 3 4 para autenticar y desencriptar. Si utiliza exclusivamente claves WEP de un servidor RADIUS, el servidor utiliza una identificacin de clave 1 para todas sus claves. RADIUS crea y distribuye una clave distinta por sesin para cada cliente. Puede especificar una clave diferente, almacenada localmente para que la utilice el dispositivo inalmbrico cuando autentique y desencripte el trfico que reciba de los clientes que utilizan servicios inalmbricos. Los clientes deben tener cargada esta clave y su nmero de identificacin para poder autenticarse y encriptar el trfico enviado al dispositivo. (Si un cliente no proporciona una identificacin de clave, el dispositivo intenta utilizar la clave WEP predeterminada para autenticar el cliente y desencriptar su trfico.)

NOTA:

Si un cliente utiliza nicamente una clave para encriptar, desencriptar y autenticar, deber utilizar la clave WEP predeterminada. La Figura 22 muestra cmo el dispositivo inalmbrico procesa una solicitud de conexin inalmbrica cuando las claves WEP se almacenan localmente y cuando provienen de un servidor RADIUS.

130

Configuracin de la autenticacin y la encriptacin para SSID

Captulo 4: Red de rea local inalmbrica

Figura 22: Proceso de conectividad con WEP en el servidor RADIUS


Un paquete llega a una interfaz inalmbrica

Est el paquete encriptado?

No

Es el paquete ESPOL*? S

No

Descartar paquete

S Reenviar el paquete al servidor RADIUS, que autentica el cliente y negocia una clave nica. El servidor RADIUS distribuye el material de claves a cliente y AP.

Es la ID de clave 1?

No

Usar la clave WEP local especificada (ID = 2, 3 o 4) para autenticar y desencriptar.*

Tiene el cliente una sola clave?

No

Est la clave de ID 1 definida localmente? S

No

Descartar paquete

S Usar la clave negociada del servidor RADIUS para autenticacin y desencriptacin.

Usar la clave WEP local especificada (ID = 1) para autenticar y desencriptar.*

* La clave especificada puede ser la misma o diferente a la clave predeterminada.

Configuracin de la autenticacin abierta


Es posible configurar una autenticacin abierta, para especificar que no se realiza ninguna autenticacin. El cliente inalmbrico proporciona el SSID y se conecta a la red inalmbrica. Cuando se utiliza la autenticacin abierta, es posible especificar las siguientes opciones de clave de encriptacin:

Sin encriptacin Encriptacin WEP


Fuente de clave local: La clave WEP est almacenada en el dispositivo de seguridad. Debe especificar una clave predeterminada. Servidor: La clave WEP es una clave dinmica negociada de un servidor RADIUS. Ambos: nicamente disponible para los dispositivos de seguridad con una radio, la clave WEP est almacenada en el dispositivo y un servidor RADIUS. Debe especificar una clave predeterminada.

Puede especificar hasta cuatro claves WEP por SSID.


Configuracin de la autenticacin y la encriptacin para SSID

131

Manual de referencia de ScreenOS: Conceptos y ejemplos

Configuracin de la autenticacin abierta con claves WEP del servidor RADIUS. Los siguientes ejemplos utilizan los siguientes parmetros para el SSID denominado hr:

Autenticacin abierta Encriptacin WEP Clave WEP generada dinmicamente obtenida del servidor RADIUS denominado rs1

WebUI Utilice el siguiente procedimiento si tiene un dispositivo de seguridad con una radio: Wireless > SSID > Edit: Introduzca los siguientes datos y haga clic en OK:
WEP Based Authentication and Encryption Methods: Open, WEP Encryption Key Source: Server Auth Server: rs1 (haga clic en Create new Auth Server para definir el servidor RADIUS si todava no existe)

Utilice el siguiente procedimiento si tiene un dispositivo de seguridad con dos radios: Wireless > SSID > Edit: Introduzca los siguientes datos y haga clic en OK.
802.1X Based Authentication and Encryption Methods: 802.1X Auth Server: rs1 (haga clic en Create new Auth Server para definir el servidor RADIUS si todava no existe)

CLI Utilice el siguiente comando si tiene un dispositivo de seguridad con una radio:
set ssid hr authentication open encryption wep key-source server rs1

Utilice el siguiente comando si tiene un dispositivo de seguridad con dos radios:


set ssid hr authentication 802.1x auth-server rs1

Configuracin de la autenticacin abierta con claves WEP locales Los siguientes ejemplos utilizan los siguientes parmetros para el SSID denominado hr:

Autenticacin abierta Encriptacin WEP Clave WEP almacenada localmente en el dispositivo de seguridad ID de clave: 1 Longitud de clave: 40 bits

132

Configuracin de la autenticacin y la encriptacin para SSID

Captulo 4: Red de rea local inalmbrica

Texto ASCII: 1a2i3 La clave con ID 1 es la clave predeterminada

WebUI Utilice el siguiente procedimiento si tiene un dispositivo de seguridad con dos radios: Wireless > SSID > Edit: Introduzca los siguientes datos y haga clic en OK.
WEP Based Authentication and Encryption Methods: Open, WEP Encryption

Haga clic en WEP Key, escriba lo siguiente y despus haga clic en Add:
Key ID: 1 Key Length: 40 Key String: Seleccione ASCII e introduzca 1a2i3 (vuelva a introducirlo en el campo Confirm) Default Key (seleccione)

CLI Utilice el siguiente comando si tiene un dispositivo de seguridad con dos radios:
set ssid hr key-id 1 length 40 method asciitext 1a2i3 default set ssid hr authentication open encryption wep

Configuracin de la autenticacin de la clave compartida de WEP


Puede configurar una clave WEP esttica que est almacenada en el dispositivo de seguridad que se utiliza para autenticar los clientes, que tambin tienen una clave WEP esttica configurada en sus dispositivos inalmbricos. Puede crear hasta cuatro claves WEP por SSID. Puede especificar una encriptacin de 40 bits mediante un nmero hexadecimal de 5 dgitos o una cadena formada por 5 caracteres ASCII. Especifique una encriptacin de 104 bits mediante un nmero hexadecimal de 26 dgitos o una cadena formada por 13 caracteres ASCII. Los siguientes ejemplos utilizan los siguientes parmetros para el SSID denominado hr:

Clave compartida de WEP ID de clave: 1 Longitud de clave: 40 bits Texto ASCII: 1a2i3 La clave con ID 1 es la clave predeterminada

Configuracin de la autenticacin y la encriptacin para SSID

133

Manual de referencia de ScreenOS: Conceptos y ejemplos

WebUI Wireless > SSID > Edit: Introduzca los siguientes datos y haga clic en OK.
WEP Based Authentication and Encryption Methods: Clave WEP compartida

Haga clic en WEP Key, escriba lo siguiente y despus haga clic en Add:
Key ID: 1 Key Length: 40 Key String: Seleccione ASCII e introduzca 1a2i3 (vuelva a introducirlo en el campo Confirm) Default Key (seleccione)

CLI
set ssid hr authentication shared-key set ssid hr key-id 1 length 40 method asciitext 1a2i3 default

ScreenOS proporciona un mecanismo para negociar automticamente con un cliente si ste debe identificarse con una clave WEP compartida. Al utilizar esta opcin se puede mejorar la compatibilidad si desea permitir el acceso a clientes que utilizan servicios inalmbricos, por medio de varios sistemas operativos que admitan distintas implementaciones de WEP. Para activar la negociacin automtica, realice uno de los siguientes procedimientos: WebUI Wireless > SSID > Edit (para cadena_nombre): Seleccione Auto. CLI
set ssid cadena_nombre authentication auto

NOTA:

Aunque es posible configurar WEP para todos los SSID, el dispositivo restringe intencionalmente su uso nicamente a un interfaz a la vez. Por esta razn, recomendamos utilizar WPA o WPA2.

Configuracin de acceso protegido de Wi-Fi


El acceso protegido de Wi-Fi (WPA) es una solucin ms segura para la autenticacin y encriptacin de WLAN y fue diseado en respuesta a muchos de los puntos dbiles encontrados en WEP. ScreenOS es compatible con WPA y WPA2. WPA y WPA2 son compatibles con la autenticacin de 802.1X, que utilizan un mtodo de protocolo de autenticacin extensible (EAP) para la autenticacin a travs del servidor RADIUS. EAP es un protocolo de encapsulado utilizado para autenticacin y funciona en la capa de conexin de datos (capa 2). Para obtener ms informacin, consulte RFC 2284, Protocolo de autenticacin extensible (EAP) PPP. ScreenOS interopera con los servidores RADIUS compatibles con 802.1X, tales como el servidor Steel-Belted RADIUS de Juniper Networks y el servidor RADIUS de Microsoft Internet Authentication Service (IAS).

134

Configuracin de la autenticacin y la encriptacin para SSID

Captulo 4: Red de rea local inalmbrica

Cuando utiliza WPA o WPA2 con un servidor RADIUS, el dispositivo de seguridad reenva la solicitud de autenticacin y responde entre los clientes inalmbricos y el servidor RADIUS. Despus de autenticar satisfactoriamente a un cliente, el servidor RADIUS enva una clave de encriptacin al cliente y al dispositivo de seguridad. Desde ese punto, el dispositivo gestiona el proceso de encriptacin, incluyendo el tipo de encriptacin, protocolo de integridad de clave temporal (TKIP) o estndar de encriptacin avanzada (AES) y el intervalo de reencriptacin. Para obtener informacin acerca de TKIP, consulte IEEE Estndar 802.11. Para obtener informacin acerca de AES, consulte RFC 3268, Servicios criptogrficos de la norma de encriptacin avanzada (AES) para seguridad de la capa de transporte (TLS). Puede utilizar WPA o WPA2 con una clave previamente compartida, la cual es una clave esttica configurada en el dispositivo de seguridad y en el dispositivo del cliente. Ambos dispositivos utilizan la clave para generar una clave nica (clave de grupo) para la sesin. Puede especificar la clave previamente compartida mediante la contrasea de ASCII o en formato hexadecimal. Tambin se utilizan los mismos tipos de encriptacin que con la autenticacin 802.1 X: TKIP o AES. Si desea permitir WPA y WPA2 como tipo de autenticacin, puede especificar la palabra clave (u opcin WebUI) wpa-auto si utiliza 802.1X como el mtodo de autenticacin, o la palabra clave (u opcin WebUI) wpa-auto-psk si utiliza la clave previamente compartida como mtodo de autenticacin.

Configuracin de autenticacin de 802.1X para WPA y WPA2


Para configurar la autenticacin de 802.1X para WPA y WPA2, especifique lo siguiente:

Servidor RADIUS Tipo de encriptacin: Adems de TKIP o AES, puede especificar auto, que especifica TKIP y AES como el tipo de encriptacin. Intervalo de reencriptacin: El tiempo que transcurre antes de que la clave de grupo para los clientes se actualice. Como valor predeterminado, el intervalo de encriptacin es de 1800 segundos (30 minutos). El rango del valor es de 30 hasta 4294967295 segundos. Utilice la palabra clave de CLI disable o especifique cero (0) en WebUI para desactivar el intervalo de reencriptacin.

Adems de especificar WPA o WPA2 como el tipo de autenticacin, tambin puede especificar la opcin de automtico, que permite utilizar WPA o WPA2 como el tipo de autenticacin. Los siguientes ejemplos utilizan los siguientes parmetros para un SSID denominado hr:

WPA (opcin automtica) Servidor RADIUS denominado rs1 Intervalo de reencriptacin de 3600 segundos Tipo de encriptacin de AES

Configuracin de la autenticacin y la encriptacin para SSID

135

Manual de referencia de ScreenOS: Conceptos y ejemplos

WebUI Wireless > SSID > (seleccione hr SSID): Introduzca los siguientes datos y haga clic en OK:
WPA Based Authentication and Encryption Methods: WPA Auto Pre-shared Key Auth Server: rs1 (haga clic en Create new Auth Server para definir el servidor RADIUS si todava no existe) Rekey Interval: 3600 Encryption Type: AES

CLI
set ssid hr authentication wpa-auto rekey-interval 3600 encryption aes auth-server rs1

Configuracin de la autenticacin con clave previamente compartida para WPA o WPA2


Para configurar la autenticacin de clave previamente compartida para WPA y WPA2, especifique lo siguiente:

Clave previamente compartida


Formato hexadecimal: Especifica la clave en formato base, que es un valor hexadecimal de 256 bits (64 caracteres). Contrasea ASCII: Especifica una contrasea para acceder a SSID y consta de 8 a 63 caracteres ASCII.

Tipo de encriptacin: Adems de TKIP o AES, puede especificar auto, que especifica TKIP y AES como el tipo de encriptacin. Intervalo de reencriptacin: El tiempo que transcurre antes de que la clave de grupo para los clientes se actualice. Como valor predeterminado, el intervalo de encriptacin es de 1800 segundos (30 minutos). El rango del valor es de 30 hasta 4294967295 segundos. Utilice la palabra clave de CLI disable o especifique cero (0) en WebUI para desactivar el intervalo de reencriptacin.

Adems de especificar WPA o WPA2 como el tipo de autenticacin, tambin puede especificar la opcin de automtico, que permite a WPA o WPA2 como el tipo de autenticacin. Los siguientes ejemplos utilizan los siguientes parmetros para un SSID denominado hr:

WPA2 Clave previamente compartida con contrasea ASCII de $FKwinnisJamesTown8fg4 Intervalo de reencriptacin de 3600 segundos Tipo de encriptacin de TKIP

136

Configuracin de la autenticacin y la encriptacin para SSID

Captulo 4: Red de rea local inalmbrica

WebUI Wireless > SSID > (seleccione hr SSID): Introduzca los siguientes datos y haga clic en OK:
WPA Based Authentication and Encryption Methods: WPA2 Pre-shared Key Key by Password: $FKwinnisJamesTown8fg4 (vuelva a introducir la contrasea en el campo Confirm Key by Password) Rekey Interval: 3600 Encryption Type: TKIP

CLI
set ssid hr authentication wpa2-psk passphrase $FKwinnisJamesTown8fg4 encryption tkip rekey-interval 3600

Especificacin del uso de la antena


El dispositivo de seguridad inalmbrico le permite elegir una antena especfica o activar varias antenas. Cuando se utilizan varias antenas, se utiliza la que tenga la seal ms fuerte (antena A o antena B). El ajuste predeterminado es diversidad. El ajuste de diversidad se adapta a la mayora de situaciones. Para utilizar una antena unidireccional externa, puede especificar antena A o antena B. Para algunos dispositivos de seguridad, la antena A es la antena ms cercana a la toma de corriente. Las antenas A y B estn etiquetadas en algunos dispositivos de seguridad. Consulte su manual de hardware para obtener ms informacin. Para cambiar la configuracin de la antena, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings: Seleccione la configuracin de la antena de la lista de Antenna Diversity, luego haga clic en OK. CLI Para seleccionar la antena A en un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan antenna a

Para seleccionar la antena A para la radio de 5 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 1 antenna a

Especificacin del uso de la antena

137

Manual de referencia de ScreenOS: Conceptos y ejemplos

Configuracin del cdigo de pas, canal y frecuencia


El dominio regulador utilizado para asignaciones de canales viene predeterminado como FCC (USA.), TELEC (Japn), ETSI (Europa) o WORLD (para todos los pases). El dominio regulador ETSI se encuentra disponible nicamente para los dispositivos de seguridad con dos radios. No es posible cambiar un dominio regulador preestablecido. Si el dominio regulador se preestablece para FCC o TELEC, no puede seleccionar un pas. Si el dominio regulador es WORLD o ETSI, debe seleccionar un pas. Si no configura un pas para un dispositivo preestablecido a WORLD o ETSI, aparece un mensaje de advertencia y las capacidades inalmbricas no funcionarn. El dispositivo de seguridad utiliza el mismo canal y frecuencia para todos los SSID en un transceptor de radio. El dispositivo selecciona automticamente el canal correspondiente con base en el cdigo del pas que usted ingresa (a menos que se seleccione manualmente un canal especfico). El canal en uso aparece en la lista de canales en WebUI. El dispositivo puede seleccionar el canal si deja la configuracin en auto. Para obtener la lista de frecuencias, canales y cdigos de pas disponibles, consulte Informacin de conexin inalmbrica en la pgina A-I. Para configurar el canal y cdigo de pas, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings: Seleccione la frecuencia, canal y pas de la lista desplegable, luego haga clic en Apply. CLI
set wlan country-code abreviatura_pas set wlan { 0 | 1 } channel { auto | 1 | 2 | 3 | ... }

Uso de canales extendidos


Si el dispositivo de seguridad se encuentra en un dominio regulador que permite el uso de los canales 12 y 13, puede activar el transceptor de radio de 2,4 GHz para utilizarlos. WebUI Wireless > General Settings: Seleccione la casilla Extended Channel Mode. CLI Para un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan extended-channel

Para un dispositivo de seguridad con dos radios, introduzca el siguiente comando:


set wlan 0 extended-channel

138

Configuracin del cdigo de pas, canal y frecuencia

Captulo 4: Red de rea local inalmbrica

Realizacin de un sondeo del sitio


Puede analizar las emisiones de un lugar para ver si hay algn puntos de acceso cercano que emita seales. La realizacin de un sondeo del sitio le permite ver si hay algn punto de acceso incontrolado en el rea. Un sondeo del sitio detecta cualquier punto de acceso que emite una baliza en la zona y registra los siguientes detalles acerca del punto de acceso detectado:

Identificador de grupo de servicio (SSID) Direccin MAC Indicador de intensidad de seal recibida (RSSI) Los nmeros de RSSI se miden en decibelios (dBs), que indican la relacin de seal y ruido (SNR). La SNR es el nivel de seal dividido entre el nivel de ruido, lo cual da como resultado un valor que representa la intensidad de la seal.

Canal de difusin

Adems de realizar un sondeo inicial en el sitio, quizs le interese realizar sondeos peridicos para asegurarse de que no aparezca repentinamente ningn punto de acceso incontrolado. Para realizar un sondeo del sitio: WebUI Wireless > Statistics > Site Survey CLI
exec wlan site-survey

NOTA:

Dependiendo de su red, un sondeo del sitio puede tardar hasta 60 segundos e interrumpir el trfico de red inalmbrica.

Localizacin de los canales disponibles


Es posible utilizar la CLI a fin de encontrar el mejor canal de radio para que el dispositivo lo utilice en la transmisin. Utilice este comando si no desea utilizar la configuracin predeterminada que selecciona automticamente los canales y desea encontrar el canal con la menor interferencia. Para encontrar el mejor canal disponible, utilice el siguiente comando:
exec wlan find-channel

NOTA:

Esta caracterstica no est disponible desde WebUI.

Realizacin de un sondeo del sitio 139

Manual de referencia de ScreenOS: Conceptos y ejemplos

Configuracin de entradas de lista de control de acceso


Por medio de una lista de control de acceso (ACL), podr controlar qu clientes que utilizan servicios inalmbricos tienen acceso a la red. La ACL identifica clientes por medio de sus direcciones MAC y especifica si el dispositivo inalmbrico autoriza o niega el acceso a cada direccin. La ACL puede funcionar en uno de tres modos de acceso:

Desactivada: El dispositivo inalmbrico no filtra ninguna direccin MAC. ste es el modo predeterminado. Activada: El dispositivo inalmbrico permite el acceso a todos los clientes excepto los marcados con una accin Deny. Estricta: El dispositivo inalmbrico deniega el acceso a todos los clientes excepto aquellos marcados con una accin Allow.

NOTA:

Los ajustes de ACL se aplican globalmente a todos los SSID. Puede definir hasta 64 clientes denegados y 64 clientes permitidos. Para agregar una direccin MAC al ACL, utilice uno de los siguientes procedimientos: WebUI Wireless > MAC Access List: Introduzca los siguientes datos y haga clic en Add :
Access Mode: (seleccione uno de los tres modos de la lista) Input a new MAC address: (escriba la direccin MAC de un cliente que utiliza servicios inalmbricos) Control Status: (seleccione Allow o Deny)

En WebUI, tambin puede seleccionar una direccin MAC de la lista de direcciones Select a learned MAC. Las entradas aparecen en esta lista cuando un cliente que utiliza servicios inalmbricos se asocia con un dispositivo inalmbrico. La lista es una pantalla dinmica de todos los clientes que utilizan servicios inalmbricos asociados actualmente, independientemente del SSID al que pertenecen.

NOTA:

Tambin puede establecer el modo de acceso a travs de la pgina MAC Address Access Control list en Wireless > General Settings. CLI
set wlan acl mode { disable | enable | strict } set wlan acl dir_mac { deny | allow }

140

Configuracin de entradas de lista de control de acceso

Captulo 4: Red de rea local inalmbrica

Configuracin de Super G
En los dispositivos inalmbricos que tienen un conjunto de chips de Atheros Communications con la funcin Super G, puede activar Super G, que puede aumentar la velocidad de los datos de usuario a una velocidad de hasta 4 Mbps para los clientes 802.11a y 802.11g mediante los siguientes mtodos:

Rfagas: Permite que el dispositivo transmita mltiples tramas en una rfaga en lugar de que hacer una pausa despus de cada trama. Tramas rpidas: Permite transmitir ms informacin por trama, ya que permite un tamao mayor que el tamao de trama estndar. Compresin: La compresin de hardware a nivel de conexin se realiza por medio de un motor de compresin de datos incorporado.

De forma predeterminada, esta funcin est desactivada. Si los clientes inalmbricos no son compatibles con Super G y el dispositivo de seguridad tiene Super G activada, todava pueden conectarse a la red inalmbrica, pero la funcin Super G no est disponible.

NOTA:

Puede leer ms sobre el conjunto de chips Super G de Atheros Communications en www.atheros.com. Para activar Super G, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings: Seleccione la casilla de verificacin Super-G (si el dispositivo de seguridad tiene ms de una radio, realice la seleccin para la radio que desea). CLI Para activar Super G en un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan super-g

Para activar Super G para la radio de 5 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 1 super-g

Configuracin de Atheros XR (rango extendido)


Puede activar la tecnologa Atheros Communications eXtended Range (XR). XR procesa las seales 802.11, definidas por las normas IEEE 802.11a y 802.11g, de manera que las redes inalmbricas tiene menos puntos muertos y tienen un rango superior al habitual. XR procesa las seales ms dbiles de manera ms efectiva y permite una mayor cobertura. XR proporciona una cobertura aumentada a una velocidad de transmisin de datos inferior.

Configuracin de Super G

141

Manual de referencia de ScreenOS: Conceptos y ejemplos

nicamente el primer SSID activo por radio puede admitir XR. Cuando XR est activo, el primer SSID activo por radio utiliza la funcin XR. Para activar XR, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings: Seleccione la casilla de verificacin XR (si el dispositivo de seguridad tiene ms de una radio, realice la seleccin para la radio que desea). CLI Para activar XR en un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan xr

Para activar XR para la radio de 5 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 1 xr

Configuracin de la calidad de servicio multimedia de Wi-Fi


La funcin de calidad del servicio (QoS) de Wi-Fi Multimedia (WMM) le permite mejorar el rendimiento de la red inalmbrica ajustando las prioridades de transmisin de las aplicaciones de audio, video y voz para acomodar los requisitos de latencia y rendimiento de cada aplicacin. De forma predeterminada, WMM est desactivado. WMM se basa en el acceso de canal distribuido mejorado (EDCA) tal como se define en 802.11e. Para obtener ms informacin sobre WMM, consulte http://www.wi-fi.org. Esta funcin no est disponible para todos los dispositivos de seguridad.

Habilitacin de WMM
Puede activar WMM en la radio de 2, GHz (WLAN 0) o en la radio de 5 GHz (WLAN 1). Para activar WMM, utilice uno de los siguientes procedimientos: WebUI Wireless > WMM Settings: Seleccione el botn Enable para la radio, luego haga clic en Apply. CLI
set wlan [ 0 | 1 ] wmm enable

142

Configuracin de la calidad de servicio multimedia de Wi-Fi

Captulo 4: Red de rea local inalmbrica

Configuracin de la calidad del servicio de WMM


Despus de activar WMM, puede configurar los parmetros de WMM que se adapten a sus requisitos de red. WMM se configura para que funcione desde cada uno de los extremos de la conexin: punto de acceso (ap) y estacin (sta).

ap es la configuracin de WMM para el dispositivo de seguridad. sta es la configuracin de WMM para el cliente. Los clientes colocan en cola el trfico internamente para los cuatro AC y luego envan los paquetes a medida que detectan las oportunidades de transmisin segn los parmetros que usted establece.

Las configuraciones de WMM se utilizan nicamente cuando el dispositivo de seguridad o clientes (estaciones) envan un paquete.

Categoras de acceso
Segn los encabezados del punto de cdigo de servicios diferenciados (DSCP) de la fuerza operativa de ingeniera de Internet (IETF), el dispositivo de seguridad y el cliente ordenan el trfico en una de cuatro categoras de acceso (AC):

Mejor esfuerzo (0): el trfico que no puede procesar los niveles de QoS y el trfico que es menos sensible a la latencia pero que se puede ver afectado por retrasos largos. Prioridad de fondo (1): trfico de baja prioridad Vdeo (2): el trfico de vdeo obtiene una prioridad ms alta que el resto del trfico de datos Voz (3): el trfico de voz obtiene la prioridad ms alta

La Tabla 3 enumera las asignaciones entre las categoras de acceso y el tipo de servicio (TOS).
Tabla 3: Categora de acceso y asignaciones de TOS Categora de acceso
Voz Vdeo Mejor esfuerzo Fondo

Valor TOS
0xC0, 0xB8, 0xE0 0x80, 0xA0, 0x88 0x00, 0x60 u otro 0x40, 0x20

NOTA:

No es compatible con etiquetas 802.1d. Aunque las configuraciones y prioridades especficas estn asociadas con cada AC, puede anular estas configuraciones a travs de WebUI o CLI.

Configuracin de la calidad de servicio multimedia de Wi-Fi

143

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ajustes predeterminados de WMM


Los siguientes trminos describen los parmetros de WMM que se pueden configurar y aparecen como encabezados de columna en la Tabla 4 y Tabla 5, que enumera los ajustes predeterminados para la configuracin del punto de acceso (dispositivo de seguridad) y la estacin (cliente):

aifs Nmero arbitrario de espacios entre tramas (AIFSN) especifica el nmero de franjas, despus de la duracin de un SIFS, durante las cuales el dispositivo de seguridad o cliente de un AC revisar la inactividad media antes de transmitir o ejecutar una desconexin.

logcwmin y logcwmax WMM define una ventana de contencin (CW), que es equivalente a un perodo aleatorio de desconexin. El parmetro CWmin especifica el nmero mnimo de franjas de la ventana de contencin que se utiliza por parte del dispositivo de seguridad o cliente de un AC particular para generar un nmero aleatorio para la desconexin. Si logcwmin es x, entonces CWmin es 2x-1. El parmetro CWmax especifica el nmero mximo de franjas de ventana que se utiliza por parte del dispositivo de seguridad o cliente para un AC particular para generar un nmero aleatorio para el retiro. Si logcwmax es x, entonces CWmax es 2x-1. ScreenOS no es compatible con el acceso programado o sin contencin.

txoplimit La oportunidad de transmisin especifica la cantidad mxima de tiempo en que el dispositivo de seguridad o el cliente pueden iniciar las transmisiones. Si establece txoplimit a x, el tiempo mximo es de 32*x microsegundos.

ackpolicy Puede activar o desactivar una directiva de confirmacin para el punto de acceso. Este parmetro no se aplica a los clientes.

144

Configuracin de la calidad de servicio multimedia de Wi-Fi

Captulo 4: Red de rea local inalmbrica

La Tabla 4 enumera los valores predeterminados para todos los modos inalmbricos compatibles para un dispositivo de seguridad en el tipo de aplicacin WMM. Como valor predeterminado, ackpolicy est desactivado para todos los modos inalmbricos.
Tabla 4: Valores predeterminados de WMM de puntos de acceso organizados por CA CA Modo inalmbrico aifs
3 2 3 3 2 0 7 7 7 7 7 0 1 1 1 1 1 0 1 1 1 1 1 0

logcwmin
4 3 5 4 3 3 4 3 5 4 4 3 3 2 4 3 2 3 2 2 3 2 2 3

logcwmax
6 5 7 6 5 3 10 10 10 10 10 3 4 3 5 4 3 3 3 2 4 3 2 3

txoplimit
0 0 0 0 0 0 0 0 0 0 0 0 94 94 188 94 94 0 47 47 102 47 47 0

Mejor esfuerzo (0) 802.11a 802,11a Turbo 802.11b 802.11g 802.11g Turbo XR Fondo (1) 802.11a 802,11a Turbo 802.11b 802.11g 802.11g Turbo XR Vdeo (2) 802.11a 802.11a Turbo 802.11b 802.11g 802.11g Turbo XR Voz (3) 802.11a 802.11a Turbo 802.11b 802.11g 802.11g Turbo XR

Configuracin de la calidad de servicio multimedia de Wi-Fi

145

Manual de referencia de ScreenOS: Conceptos y ejemplos

La Tabla 5 enumera los valores predeterminados para todos los modos inalmbricos compatibles con la configuracin de WMM para un cliente (sta).
Tabla 5: Valores predeterminados de WMM de estacin organizados por CA CA Modo inalmbrico aifs
3 2 3 3 2 0 7 7 7 7 7 0 2 2 2 2 2 0 2 1 2 2 1 0

logcwmin
4 3 5 4 3 3 4 3 5 4 4 3 3 2 4 3 2 3 2 2 3 2 2 3

logcwmax
10 10 10 10 10 3 10 10 10 10 10 3 4 3 5 4 3 3 3 2 4 3 2 3

txoplimit
0 0 0 0 0 0 0 0 0 0 0 0 94 94 188 94 94 0 47 47 102 47 47 0

Mejor esfuerzo 802.11a 802.11a Turbo 802.11b 802.11g 802.11g Turbo XR Fondo 802.11a 802.11a Turbo 802.11b 802.11g 802.11g Turbo XR Vdeo 802.11a 802.11a Turbo 802.11b 802.11g 802.11g Turbo XR Voz 802.11a 802.11a Turbo 802.11b 802.11g 802.11g Turbo XR

Ejemplo
En el siguiente ejemplo, se utiliza la configuracin de estacin de WMM en el transceptor de 5 GHz y se cambian las configuraciones para el trfico de voz (A=0) como se muestra a continuacin:

logcwmin: cero (0) logcwmax: 15 aifs: 4 txoplimit: 10

146

Configuracin de la calidad de servicio multimedia de Wi-Fi

Captulo 4: Red de rea local inalmbrica

Para configurar WMM con estas configuraciones: WebUI Wireless > WMM Settings: Introduzca los ajustes deseados y haga clic en Apply: CLI
set wlan 1 set wlan 1 set wlan 1 set wlan 1 save wmm sta 0 logcwmin 0 wmm sta logcwmax 15 aifs 4 txoplimit 10

Configuracin de los parmetros inalmbricos avanzados


Esta seccin contiene informacin sobre los parmetros inalmbricos avanzados. Es posible que necesite realizar cambios pequeos para aumentar el rendimiento en determinado tipo de implementaciones inalmbricas. Esta seccin describe las siguientes funciones inalmbricas avanzadas:

Configuracin del intervalo de envejecimiento en la pgina 147 Configuracin del intervalo de baliza en la pgina 148 Configuracin del perodo de mensaje de indicacin de trfico de envo en la pgina 149 Configuracin del umbral de rfagas en la pgina 149 Configuracin del umbral de fragmentos en la pgina 149 Configuracin del umbral de la solicitud de envo en la pgina 150 Configuracin del modo de va libre para enviar en la pgina 150 Configuracin de la tasa de va libre para enviar en la pgina 151 Configuracin del tipo de va libre para enviar en la pgina 151 Configuracin del tiempo de franja en la pgina 152 Configuracin de la longitud del prembulo en la pgina 152

Configuracin del intervalo de envejecimiento


Puede especificar la cantidad de tiempo que transcurre antes de desconectar al cliente inalmbrico si no hay trfico hacia o desde el cliente. Este valor puede estar entre 60 segundos y 1.000.000 segundos. El valor predeterminado es de 300 segundos. Para desactivar el envejecimiento, utilice el comando set wlan advanced aging-interval disable.

Configuracin de los parmetros inalmbricos avanzados

147

Manual de referencia de ScreenOS: Conceptos y ejemplos

Una vez transcurrido el intervalo de envejecimiento y desconectado el cliente, su informacin de MAC se elimina de una tabla MAC del dispositivo de seguridad. La tabla MAC de cada radio puede contener hasta 60 direcciones MAC de clientes. Debido a que a los nuevos clientes se les deniega la conectividad cuando la tabla MAC est llena, ajuste el intervalo de envejecimiento de manera que los clientes existentes cuyas conexiones no se estn utilizando se desconecten y sus direcciones MAC se eliminen puntualmente de la tabla MAC. Para ajustar el intervalo de envejecimiento a 500 segundos para la radio de 2,4 GHz, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Introduzca los siguientes datos, luego haga clic en Return:
Aging Interval: 500 (para dispositivos con dos radios, especifique el intervalo de envejecimiento para WLAN0)

CLI Para cambiar el intervalo de envejecimiento para un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan advanced aging-interval 500

Para cambiar el intervalo de envejecimiento a 500 segundos para la radio de 2,4 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 0 advanced aging-interval 500

Configuracin del intervalo de baliza


Puede configurar el intervalo en el cual se envan las balizas. El rango del valor es de 20 a 1.000 unidades de tiempo (1 unidad de tiempo es igual a 1024 s) El valor predeterminado es de 100 unidades de tiempo. Para ajustar el intervalo de baliza a 200 unidades de tiempo (2048 s) para el transceptor de 2,4 GHz, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Introduzca los siguientes datos, luego haga clic en Return:
Beacon Interval: 200 (para dispositivos con dos radios, especifique el intervalo de baliza para WLAN0)

CLI Para cambiar el intervalo de baliza para un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan advanced beacon-interval 200

148

Configuracin de los parmetros inalmbricos avanzados

Captulo 4: Red de rea local inalmbrica

Para cambiar el intervalo de baliza para la radio de 2,4 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 0 advanced beacon-interval 200

Configuracin del perodo de mensaje de indicacin de trfico de envo


Puede establecer el nmero de balizas que se envan antes de enviar la asignacin de indicacin de trfico de envo (DTIM). El aumento del perodo de DTIM disminuye el nmero de difusiones enviadas a los clientes. El rango del valor es de 1 a 255. El valor predeterminado es el intervalo de baliza 1. Para establecer el perodo DTIM en 2, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Introduzca los siguientes datos, luego haga clic en Return:
DTIM Period: 2 (para dispositivos con dos radios, especifique el perodo de DTIM para WLAN0)

CLI Para cambiar el perodo de DTIM para un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan advanced dtim-period 2

Para cambiar el perodo de DTIM para la radio de 2,4 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 0 advanced dtim-period 2

Configuracin del umbral de rfagas


Puede establecer un nmero mximo de tramas en una rfaga. El rango vlido est entre 2 y 255. El valor predeterminado es 3. Esta funcin no est disponible en todos los dispositivos de seguridad. Para cambiar el umbral de rfaga a 5, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Introduzca los siguientes datos, luego haga clic en Return:
Burst Threshold: 5

CLI
set wlan advanced burst-threshold 5

Configuracin del umbral de fragmentos


Puede establecer la longitud mxima de una trama antes de fragmentarla en mltiples tramas para su transmisin. El rango del valor son nmeros pares entre 256 y 2346. El valor predeterminado es 2346.

Configuracin de los parmetros inalmbricos avanzados

149

Manual de referencia de ScreenOS: Conceptos y ejemplos

Para ajustar el umbral de fragmentos a 500 para la radio de 2,4 GHz, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Introduzca los siguientes datos, luego haga clic en Return:
Fragment Threshold: 500 (para dispositivos con dos radios, especifique el umbral de fragmentos para WLAN0)

CLI Para cambiar el umbral de fragmentos para un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan advanced fragment-threshold 500

Para ajustar el umbral de fragmentos para la radio de 2,4 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 0 advanced fragment-threshold 500

Configuracin del umbral de la solicitud de envo


Puede ajustar la longitud mxima de una trama antes de utilizar el mtodo de solicitud de envo (RTS) para enviar la trama. El rango del valor es de 256 a 2346. El valor predeterminado es 2346. Para ajustar el umbral de RTS a 500 para la radio de 2,4 GHz, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Introduzca los siguientes datos, luego haga clic en Return:
RTS Threshold: 500 (para dispositivos con dos radios, especifique el umbral de RTS para WLAN0)

CLI Para cambiar el umbral de RTS para un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan advanced rts-threshold 500

Para ajustar el umbral de RTS para la radio de 2,4 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 0 advanced rts-threshold 500

Configuracin del modo de va libre para enviar


La proteccin de va libre para enviar (CTS) bloquea los paquetes de confirmacin (ACK) para aligerar la carga de procesamiento necesaria para ejecutar 802.11. El ajuste predeterminado es auto. De forma predeterminada el dispositivo de seguridad detecta el ajuste de CTS de clientes. Puede seleccionar tambin on para utilizar siempre CTS u off para no utilizar nunca CTS.
150

Configuracin de los parmetros inalmbricos avanzados

Captulo 4: Red de rea local inalmbrica

NOTA:

Esta caracterstica no funciona en el modo inalmbrico de 802.11b y no est disponible en todos los dispositivos de seguridad. Cuando modifica el comportamiento predeterminado del dispositivo de seguridad, es posible que tambin necesite modificar la velocidad de CTS y el tipo, segn se describe en Configuracin de la tasa de va libre para enviar y Configuracin del tipo de va libre para enviar.. Para desactivar la proteccin de CTS, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Select the following, then click Return:
CTS Mode: Off

CLI
set wlan advanced cts-mode off

Configuracin de la tasa de va libre para enviar


Puede establecer la velocidad (en Mbps) a la cual se envan las tramas de CTS. Esta funcin no funciona en el modo inalmbrico de 802.11b y no est disponible en todos los dispositivos de seguridad. Los valores vlidos son 1; 2; 5,5 y 11 Mbps. El valor predeterminado es de 11 Mbps. Para establecer la velocidad de CTS en 5,5, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Seleccione lo siguiente, luego haga clic en Return:
CTS Rate: 5.5

CLI
set wlan advanced cts-rate 5.5

Configuracin del tipo de va libre para enviar


ScreenOS proporciona dos tipos de proteccin de va libre para enviar (CTS): Slo CTS y CTS-RTS. El propsito de CTS es disminuir las colisiones entre dos clientes inalmbricos. La opcin de slo CTS (predeterminada) obliga al dispositivo de seguridad a que espere una trama de CTS antes de reenviar datos. La opcin CTS-RTS (solicitud de envo) obliga al dispositivo de seguridad a completar el establecimiento de conexin de RTS -CTS antes de reenviar los datos. Esta funcin no est disponible en todos los dispositivos de seguridad.

Configuracin de los parmetros inalmbricos avanzados

151

Manual de referencia de ScreenOS: Conceptos y ejemplos

Para establecer el tipo de CTS a slo CTS, utilice uno de los siguientes procedimientos: WebUI Wireless > General Settings > Advanced: Seleccione lo siguiente, luego haga clic en Return:
CTS Type: CTS Only

CLI
set wlan advanced cts-type cts-only

Configuracin del tiempo de franja


Cuando el tiempo de franja est ajustado en long, el dispositivo de seguridad utiliza nicamente el tiempo de franja larga. Como valor predeterminado, los dispositivos de seguridad utilizan el tiempo de franja corta. Esta funcin se utiliza nicamente en el modo 802.11g. Para activar el tiempo de franja larga de la radio de 2,4 GHz, utilice uno de los siguientes procedimientos. WebUI Wireless > General Settings > Advanced: Seleccione la casilla de verificacin Long Slot Time, luego haga clic en Return. CLI Para activar el tiempo de franja larga de un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan advanced slot-time long

Para activar el tiempo de franja larga para la radio de 2,4 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 0 advanced slot-time long

Configuracin de la longitud del prembulo


Puede modificar el prembulo de transmisin de corto a largo. Cuando lo ajusta en largo, nicamente se utilizan prembulos largos. Cuando se activa en corto, se utilizan tanto los prembulos largos como los cortos. El valor predeterminado es corto. Este comando se aplica nicamente cuando se ajusta el transceptor a 2,4 GHz para los modos 802.11b y 802.11g. WebUI Wireless > General Settings > Advanced: Seleccione la casilla de verificacin Long Transmit Preamble, luego haga clic en Return. CLI Para activar los prembulos largos para un dispositivo de seguridad con una radio, introduzca el siguiente comando:
set wlan advanced long-preamble 152

Configuracin de los parmetros inalmbricos avanzados

Captulo 4: Red de rea local inalmbrica

Para activar los prembulos largos para la radio de 2,4 GHz en un dispositivo de seguridad con dos radios, introduzca el siguiente comando:
set wlan 0 advanced long-preamble

Trabajo con interfaces inalmbricas


Esta seccin describe las siguientes tareas que puede realizar con las interfaces inalmbricas.

Asociacin de un SSID a una interfaz inalmbrica


Cuando se inicia el dispositivo de seguridad, existen varias interfaces inalmbricas, pero no estn asociadas con SSID. Despus de crear un SSID, necesita asociar la interfaz a un SSID para activar la interfaz. Para los dispositivos de seguridad con una radio, despus de crear un SSID, debe asociarlo con una interfaz inalmbrica que est asociada con una zona de seguridad especfica. Para los dispositivos de seguridad con dos radios, las interfaces inalmbricas se pueden asociar a una zona o colocarse en un grupo en puente (bgroup). Para obtener ms informacin sobre los grupos en puente, consulte Creacin de grupos en puente inalmbricos en la pgina 154. Para asociar un SSID a una interfaz inalmbrica, utilice uno de los siguientes procedimientos: WebUI Wireless > SSID > Edit (para el SSID que desea asociar a una interfaz): Seleccione una interfaz de la lista Wireless Inteface Binding, luego haga clic en OK. o bien Para los dispositivos de seguridad con una radio, haga lo siguiente: Network > Interfaces > Edit: Seleccione el SSID de la lista Bind to SSID, luego haga clic en OK. Para los dispositivos de seguridad con dos radios, haga lo siguiente: Network > Interfaces > List> Edit: Seleccione el SSID de la lista Bind to SSID, luego haga clic en OK. CLI
set ssid cadena_nombre interfaz interfaz

Asociacin de una interfaz inalmbrica a una radio


En algunos dispositivos de seguridad, puede especificar la radio que utiliza una interfaz inalmbrica. De forma predeterminada, las interfaces inalmbricas se asocian a dos radios y se pueden ejecutar en los modos 802.11a, 802.11b o 802.11g.

Trabajo con interfaces inalmbricas

153

Manual de referencia de ScreenOS: Conceptos y ejemplos

Puede activar las siguientes opciones:


0, que activa nicamente el transceptor de 2,4 GHz para 802.11b y 802.11g. 1, que activa nicamente el transceptor de 5 GHz para 802.11a. ambos, que activa ambos transceptores (2,4 GHz y 5 GHz) en la interfaz (802.11a/b/g).

Por ejemplo, si especifica 802.11b como el modo de funcionamiento con el comando set wlan mode y selecciona la opcin 0, nicamente 802.11b se encuentra disponible para la interfaz inalmbrica. Para especificar que una interfaz inalmbrica wireless0/0 utiliza la radio de 2,4 GHz, utilice uno de los siguientes procedimientos: WebUI Network > Interface > List > Edit (para la interfaz inalmbrica): Select 2,4G(802.11b/g) de la lista Wlan, luego haga clic en OK. CLI
set interface wireless0/0 wlan 0

Creacin de grupos en puente inalmbricos


Algunos dispositivos de seguridad son compatibles con grupos en puente (bgroups). Un bgroup permite a los usuarios de la red cambiar entre el trfico inalmbrico/con cable sin tener que reconfigurar o reiniciar su computadora. Puede configurar varios SSID para que funcione un bgroup o configurar un SSID para operar en la misma subred que la subred de cables. En los dispositivos de seguridad inalmbricos que admiten los grupos en puente, los grupos en puente se identifican como bgroup0 hasta bgroup3. Para establecer una interfaz inalmbrica y Ethernet al mismo bgroup, utilice uno de los siguientes procedimientos: WebUI Network > Interfaces > List > Edit (para bgroup) > Bind Port: Select Bind to Current Bgroup para la interfaz, luego haga clic en Apply. CLI Para establecer una interfaz inalmbrica y Ethernet para la misma interfaz de grupo en puente, haga lo siguiente:
set interface nombre_bgroup port interfaz_inalmbrica set interface nombre_bgroup port interfaz_ethernet
NOTA:

El nombre_bgroup puede ser bgroup0bgroup3. La interfaz_ethernet puede ser ethernet0/0ethernet0/4. La interfaz_inalmbrica puede ser wireless0/0wireless0/3.

154

Trabajo con interfaces inalmbricas

Captulo 4: Red de rea local inalmbrica

Desactivacin de una interfaz inalmbrica


Puede desactivar una interfaz inalmbrica determinada desde WebUI o CLI. De forma predeterminada, cuando asocia una interfaz a un SSID, ste se activa. Esta funcin no est disponible en todas las plataformas. Para desactivar una interfaz inalmbrica, utilice uno de los siguientes procedimientos: WebUI Network > Interfaces > List > Deactivate (para que se desactive la interfaz inalmbrica) CLI
set interface nombre_si_es_wlan shutdown

Visualizacin de la Informacin de configuracin inalmbrica


Puede ver detalles sobre las estadsticas y configuraciones inalmbricas. Estos comandos se encuentran disponibles desde CLI y no en WebUI. Para ver una configuracin de WLAN, introduzca el comando siguiente:
device-> get wlan AP software version: 5.0 AP bootrom version: 1..1 Regulatory Domain is World, Country Code is China ACL mode is disabled
WLAN 0 1 Mode b/g a Antenna Channel Rate Diversity AUTO 11 a 116 (5580)54 Power full full Super G Enabled Disabled

Para ver la informacin de asociacin de interfaz inalmbrica, introduzca el siguiente comando:


get interface nombre_if_wlan association [ dir_mac ]

Para ver la lista de control de acceso (ACL) para una WLAN, introduzca el siguiente comando:
get wlan acl

Para ver los detalles de interfaz para una interfaz WLAN, introduzca el comando siguiente:
get interface nombre_if_wlan

Visualizacin de la Informacin de configuracin inalmbrica 155

Manual de referencia de ScreenOS: Conceptos y ejemplos

Ejemplos de configuracin
Esta seccin contiene configuraciones para los siguientes ejemplos:

Ejemplo 1: Autenticacin abierta y encriptacin WEP en la pgina 156 Ejemplo 2: Autenticacin de WPA-PSK con Passphrase y encriptacin automtica en la pgina 157 Ejemplo 3: WLAN en modo transparente en la pgina 157 Ejemplo 4: Perfiles mltiples y diferenciados en la pgina 161

Ejemplo 1: Autenticacin abierta y encriptacin WEP


En este ejemplo para un dispositivo de seguridad con una radio, se crea un BSS con el nombre SSID openwep, y se asocia a la interfaz wireless2. Esta configuracin establece el identificador de clave WEP en 1 con una cadena de entrada ASCII de 40 bits. Esta configuracin no permite que nadie se autentique, sino encripta la comunicacin utilizando la clave WEP. WebUI Wireless > SSID > New: Introduzca los siguientes datos y haga clic en OK:
SSID: openwep

>WEP Key: Introduzca los siguientes datos y haga clic en Back to SSID Edit:
Key ID: 1 Key Length: 40 Key String ASCII: (seleccione), abcde Add: (seleccione)

>Mtodos de autenticacin y encriptacin basados en WEP


Open: (seleccione) WEP Encryption: (seleccione), Key Source: Cliente FTP Wireless Interface Binding: wireless2

Wireless > Activate Changes: Haga clic en el botn Activate Changes. CLI
set ssid name openwep set ssid openwep key-id 1 length 40 method ascii abcde set ssid openwep authentication open encryption wep set ssid openwep interface wireless2 exec wlan reactivate

156

Ejemplos de configuracin

Captulo 4: Red de rea local inalmbrica

Ejemplo 2: Autenticacin de WPA-PSK con Passphrase y encriptacin automtica


En este ejemplo para un dispositivo de seguridad con una radio, se crea un SSID denominado wpapsk el cual se asocia a la interfaz wireless2. La configuracin establece autenticacin de Wi-Fi Protected Access (WPA) con una tecla previamente compartida y encriptacin automtica Los clientes que utilizan servicios inalmbricos y desean conectarse a la interfaz wireless2 para obtener acceso a la red, deben utilizar la passphrase WPA i7BB92-5o23iJ al establecer una conexin inalmbrica. WebUI Wireless > SSID > New: Introduzca los siguientes datos y haga clic en OK:
SSID: wpapsk

>WPA Based Authentication Methods


WPA Pre-shared Key: (seleccione) Key by Password: (seleccione), i7BB92-5o23iJ Confirm key by Password: i7BB92-5o23iJ Encryption Type: Auto Wireless Interface Binding: wireless2

Wireless > Activate Changes: Haga clic en el botn Activate Changes. CLI
set ssid name wpapsk set ssid wpapsk authentication wpa-psk passphrase i7BB92-5o23iJ encryption auto set ssid wpapsk interface wireless2 exec wlan reactivate

Ejemplo 3: WLAN en modo transparente


En este ejemplo, un dispositivo de seguridad con una radio protege a una sola WLAN en modo transparente. Para aumentar la seguridad del trfico administrativo, efecte el siguiente procedimiento 1. Cambie el nmero de puerto HTTP para la administracin WebUI de 80 a 5555 y el nmero de puerto de Telnet para administracin CLI de 23 a 4646. 2. Utilice la direccin VLAN1 IP (1.1.1.1/24) para administrar el dispositivo de seguridad desde la zona de seguridad V1-Trust. 3. Configure una ruta predeterminada al enrutador externo en 1.1.1.250, para que el dispositivo de seguridad le pueda enviar trfico VPN saliente. (La puerta de enlace predeterminada en todos los hosts de la zona V1-Trust tambin ser 1.1.1.250).

Ejemplos de configuracin

157

Manual de referencia de ScreenOS: Conceptos y ejemplos

Figura 23: Dispositivo WLAN en modo transparente


Enrutador externo1.1.1.250 Espacio de direccin 1.1.1.0/24 LAN IP de VLAN1 1.1.1.1/24 Internet

wireless1 wireless2

Zona V1-Trust

Interfaz V1-Trust ethernet 10.0.0.0/0

Interfaz V1-Untrust untrust 0.0.0.0/0

Zona V1-Untrust

WebUI
1. Interfaz VLAN1

Network > Interfaces > Edit (para la interfaz VLAN1): Introduzca los siguientes datos y haga clic en OK:
IP Address/Netmask: 1.1.1.1/24 Management Services: WebUI, Telnet (seleccione) Other Services: Ping (seleccione)
2. Modo de puerto

Configuration > Port Mode: Seleccione Trust-Untrust en la lista desplegable Port Mode.
3. Puerto HTTP

Configuration > Admin > Management: En el campo HTTP Port, escriba 5555 y despus haga clic en Apply.

NOTA:

El nmero de puerto predeterminado es 80. Se recomienda cambiarlo a cualquier nmero entre 1024 y 32.767 para evitar cualquier acceso no autorizado a la configuracin. Cuando se conecte posteriormente para administrar el dispositivo, introduzca lo siguiente en el campo URL de su explorador: http://1.1.1.1:5555.
4. Interfaces

Network > Interfaces > Edit (para mgt): Introduzca los siguientes datos y haga clic en OK:
Zone Name: V1-Trust IP Address/Netmask: 0.0.0.0/0

Network > Interfaces > Edit (para untrust): Introduzca los siguientes datos y haga clic en OK:
Zone Name: V1-Untrust IP Address/Netmask: 0.0.0.0/0

158

Ejemplos de configuracin

Captulo 4: Red de rea local inalmbrica

Network > Interfaces > Edit (para wireless1): Introduzca los siguientes datos y haga clic en OK:
Zone Name: V1-Trust IP Address/Netmask: 0.0.0.0/0

Network > Interfaces > Edit (para wireless2): Introduzca los siguientes datos y haga clic en OK:
Zone Name: V1-Trust IP Address/Netmask: 0.0.0.0/0
5. Zonas

El enrutador virtual predeterminado para las zonas V1-Trust, V1-Untrust y VLAN es trust-vr.
6. SSID

Wireless > SSID > New: Introduzca los siguientes datos y haga clic en OK:
SSID: xparent-wpa

>Mtodos de autenticacin con base en WPA


WPA Pre-shared Key: (seleccione) Key by Password: (seleccione), 12345678 Confirm key by Password: 12345678 Encryption Type: TKIP Wireless Interface Binding: wireless2

Wireless > SSID > New: Introduzca los siguientes datos y haga clic en OK:
SSID: xparent-share

>Mtodos de autenticacin y encriptacin basados en WEP >WEP Key: Introduzca los siguientes datos y haga clic en Back to SSID Edit:
Key ID: 1 Key Length: 40 Key String ASCII: (seleccione), abcde Default Key: (seleccione) Add: (seleccione)

>Mtodos de autenticacin y encriptacin basados en WEP


WEP Shared Key: (seleccione) Wireless Interface Binding: wireless1

Ejemplos de configuracin

159

Manual de referencia de ScreenOS: Conceptos y ejemplos

7.

Ruta

Network > Routing > Destination > trust-vr New: Introduzca los siguientes datos y haga clic en OK:
Network Address/Netmask: 0.0.0.0/0 Gateway: (seleccione) Interface: vlan1(trust-vr) Gateway IP Address: 1.1.1.250 Metric: 1
8. Directivas

Policies > (From: V1-Trust, To: V1-Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: Any Action: Permit
9. Activacin de configuracin WLAN

Wireless > Activate Changes: Haga clic en el botn Activate Changes. CLI
1. VLAN1

set interface vlan1 ip 1.1.1.1/24 set interface vlan1 manage web set interface vlan1 manage telnet set interface vlan1 manage ping
2. Modos de puerto

exec port-mode trust-untrust


3. Puerto HTTP

set admin telnet port 4646


NOTA:

El nmero de puerto predeterminado para Telnet es 23. Se recomienda cambiarlo a cualquier nmero entre 1024 y 32.767 para evitar cualquier acceso no autorizado a la configuracin. Cuando se conecte posteriormente para administrar el dispositivo a travs de Telnet, introduzca la siguiente direccin: 1.1.1.1 4646.
4. Interfaces

set interface trust ip 0.0.0.0/0 set interface trust zone v1-trust set interface untrust ip 0.0.0.0/0 set interface untrust zone v1-untrust set interface wireless1 ip 0.0.0.0/0 set interface wireless1 zone v1-trust set interface wireless2 ip 0.0.0.0/0 set interface wireless2 zone v1-trust
5. Zonas

set zone V1-Trust vrouter trust-vr set zone V1-Untrust vrouter trust-vr set zone VLAN vrouter trust-vr 160

Ejemplos de configuracin

Captulo 4: Red de rea local inalmbrica

6.

SSID

set ssid name xparent-wpa set ssid xparent-wpa authentication wpa-psk passphrase 12345678 encryption tkip set ssid xparent-wpa interface wireless2 set ssid name xparent-share set ssid xparent-share key-id 1 length 40 method asciitext abcde default set ssid xparent-share authentication shared-key set ssid xparent-share interface wireless1 exec wlan reactivate
7. Ruta

set vrouter trust-vr route 0.0.0.0/0 interface vlan1 gateway 1.1.1.250 metric 1
8. Directivas

set policy from v1-trust to v1-untrust any any any permit save

Ejemplo 4: Perfiles mltiples y diferenciados


En este ejemplo, se crean cuatro SSID, cada uno con su propio nombre y esquema de autenticacin y encriptacin para un dispositivo de seguridad inalmbrico con una radio en modo de puerto extendido. Este modo proporciona las siguientes asociaciones de puerto, interfaz y zona:
Interfaz
ethernet1 (puertos 1 y 2) ethernet2 (puertos 3 y 4) ethernet3 (puerto Untrust) wireless1 wireless2 wireless3 wireless4

Zonas de seguridad
Trust DMZ Untrust Wzone1 Trust DMZ Wzone2

Nombres de los conjuntos de servicios bsicos


NA NA NA SSID: wzone1-wpa con clave previamente compartida WPA SSID: trust-wpa con WPA utilizando el servidor RADIUS SSID: dmz-share con clave compartida WEP SSID: wzone2-open con WEP abierta/sin encriptacin

Figura 24: Dispositivo inalmbrico con perfiles mltiples y diferenciados


WLAN wireless1 Punto de acceso inalmbrico
CONSOLE MODEM UNTRUSTED 4 3 2 1 RESET
DC POWER 9 - 12V 1A

Wzone1

WLAN wireless4 Wzone2 WLAN4 wireless2

Internet Callouts Zona Untrust ethernet3

ethernet2 Servidor web Servidor de correo LAN WLAN wireless3 Zona DMZ Servidor RADIUS

Zona Trust

Ejemplos de configuracin

161

Manual de referencia de ScreenOS: Conceptos y ejemplos

En este ejemplo realizar el siguiente procedimiento: 1. Coloque sus ajustes de servicios bsicos (BSS) asignado nombres SSID, estableciendo los mtodos de encriptacin y autenticacin, y asociando los SSID a una interfaz inalmbrica. 2. Establezca cada interfaz inalmbrica para que acte como un servidor DHCP para asignar direcciones en forma dinmica a los clientes que utilizan servicios inalmbricos para cada SSID. 3. Active la administracin de dispositivos inalmbricos en la interfaz wireless1. 4. Configure el dispositivo inalmbrico para utilizar un servidor RADIUS para encriptacin WPA. 5. Cree directivas para cada interfaz inalmbrica. 6. Vuelva a activar la WLAN. Puede configurar este ejemplo ya sea con WebUI o CLI: WebUI
1. Establecimiento de los conjuntos de servicios bsicos

Wireless > SSID > New: Introduzca los siguientes datos y haga clic en OK:
SSID: wzone1-wpa

>Mtodos de autenticacin con base en WPA


WPA Pre-shared Key: (seleccione) Key by Password: (seleccione), 12345678 Confirm key by Password: 12345678 Encryption Type: Auto Wireless Interface Binding: wireless1

Wireless > SSID > New: Introduzca los siguientes datos y haga clic en OK:
SSID: trust-wpa

>Mtodos de autenticacin con base en WPA


WPA: (seleccione) Encryption Type: Auto Wireless Interface Binding: wireless2

162

Ejemplos de configuracin

Captulo 4: Red de rea local inalmbrica

Wireless > SSID > New: Introduzca los siguientes datos y haga clic en OK:
SSID: dmz-share

>Mtodos de autenticacin y encriptacin basados en WEP


WEP Key: Introduzca los siguientes datos y haga clic en Back to SSID Edit: Key ID: 1 Key Length: 40 Key String ASCII: (seleccione), abcde Add: (seleccione) WEP Shared Key: (seleccione) Wireless Interface Binding: wireless3

Wireless > SSID > New: Introduzca los siguientes datos y haga clic en OK:
SSID: wzone2-open

>Mtodos de autenticacin y encriptacin basados en WEP


Open (seleccione) No Encryption: (seleccione) Wireless Interface Binding: wireless4
2. Interfaces

Network > Interfaces > Edit (para ethernet3): Introduzca los siguientes datos y haga clic en OK:
Obtain IP using DHCP: (seleccione) Automatic update DHCP server parameters: (seleccione)

Network > Interfaces > Edit (para wireless1): Introduzca los siguientes datos y haga clic en OK:
IP Address/Netmask: 192.168.5.1/24

>Opciones de administracin
Management Services: WebUI, Telent, SSH, SNMP , SSL Other Services: Ping

Network > DHCP > Edit (para wireless1)>DHCP Server: Introduzca los siguientes datos y haga clic en OK:
DHCP Server: (seleccione) DHCP Server Mode: Enable Lease: Unlimited DNS#1: 192.168.5.30

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.5.2 IP Address End: 192.168.5.22

Ejemplos de configuracin

163

Manual de referencia de ScreenOS: Conceptos y ejemplos

NOTA:

De forma predeterminada, se activa la administracin del dispositivo para wireless2 con la direccin IP predeterminada de 192.168.2.1/24. Network > DHCP > Edit (para wireless2) >DHCP Server: Introduzca los siguientes datos y haga clic en OK:
DHCP Server: (seleccione) DHCP Server Mode: Enable Lease: Unlimited

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.2.2 IP Address End: 192.168.2.22

Network > Interfaces > Edit (para wireless3): Escriba 192.168.3.1/24 en los campos IP Address/Netmask y haga clic en OK. Network > DHCP > Edit (para wireless3) > DHCP Server: Introduzca los siguientes datos y haga clic en OK:
DHCP Server: (seleccione) DHCP Server Mode: Enable Lease: Unlimited

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.3.2 IP Address End: 192.168.3.22

Network > Interfaces > Edit (para wireless4): Escriba 192.168.4.1/24 en los campos IP Address/Netmask y haga clic en OK. Network > DHCP > Edit (para wireless4)>DHCP Server: Introduzca los siguientes datos y haga clic en OK:
DHCP Server: (seleccione) DHCP Server Mode: Enable Lease: Unlimited

> Addresses > New: Introduzca los siguientes datos y haga clic en OK:
Dynamic: (seleccione) IP Address Start: 192.168.4.2 IP Address End: 192.168.4.22

164

Ejemplos de configuracin

Captulo 4: Red de rea local inalmbrica

3.

Servidor de autenticacin RADIUS

Configuration > Auth > Servers > New: Introduzca los siguientes datos y haga clic en OK:
Name: radius1 IP/Domain Name: 192.168.1.50 Backup1: 192.168.1.60 Backup2: 192.168.1.61 Timeout: 30 Account Type: 802.1X RADIUS: (seleccione) Shared Secret: 456htYY97kl
4. Directivas

Policies > (From: Wzone1, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit

Policies > (From: Wzone1, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit

Policies > (From: Wzone2, To: Untrust) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: ANY Action: Permit

Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: HTTP Action: Permit

Ejemplos de configuracin

165

Manual de referencia de ScreenOS: Conceptos y ejemplos

Policies > (From: Untrust, To: DMZ) New: Introduzca los siguientes datos y haga clic en OK:
Source Address: Address Book Entry: (seleccione), Any Destination Address: Address Book Entry: (seleccione), Any Service: MAIL Action: Permit
5. Activacin de configuracin WLAN

Wireless > Activate Changes: Haga clic en el botn Activate Changes. CLI
1. Conjuntos de servicios bsicos

set ssid name wzone1-wpa set ssid wzone1-wpa authentication wpa-psk passphrase 12345678 encryption auto set ssid wzone1-wpa interface wireless1 set ssid name trust-wpa set ssid trust-wpa authentication wpa encryption auto set ssid trust-wpa interface wireless2 set ssid name dmz-share set ssid dmz-share key-id 1 length 40 method ascii abcde set ssid dmz-share authentication shared-key set ssid dmz-share interface wireless3 set ssid name wzone2-open set ssid wzone2-open authentication open encryption none set ssid wzone2-open interface wireless4
2. Interfaces

set interface ethernet3 dhcp client settings update-dhcp server set interface ethernet3 dhcp client set interface wireless1 ip 192.168.5.1/24 set interface wireless1 route set interface wireless1 ip manageable set interface wireless1 dhcp server service set interface wireless1 dhcp server enable set interface wireless1 dhcp server option gateway 192.168.5.1 set interface wireless1 dhcp server option netmask 255.255.255.0 set interface wireless1 dhcp server option dns1 192.168.5.30 set interface wireless1 dhcp server ip 192.168.5.2 to 192.168.5.22 set interface wireless2 dhcp server ip 192.168.2.2 to 192.168.2.22 set interface wireless3 ip 192.168.3.1/24 set interface wireless3 dhcp server ip 192.168.3.2 to 192.168.3.22 set interface wireless4 ip 192.168.4.1/24 set interface wireless4 dhcp server ip 192.168.4.2 to 192.168.4.22

166

Ejemplos de configuracin

Captulo 4: Red de rea local inalmbrica

3.

Servidor de autenticacin RADIUS

set set set set set set set


4.

auth-server radius1 server-name 192.168.1.50 auth-server radius1 type radius auth-server radius1 account-type 802.1X auth-server radius1 backup1 192.168.1.60 auth-server radius1 backup2 192.168.1.61 auth-server radius1 timeout 30 auth-server radius1 radius secret A56htYY97kl policy from wzone1 to untrust any any any permit policy from wzone1 to dmz any any any permit policy from wzone2 to untrust any any any permit policy from untrust to dmz any any http permit policy from untrust to dmz any any mail permit

Directivas

set set set set set


5.

Activacin de configuracin WLAN

exec wlan reactivate

Ejemplos de configuracin

167

Manual de referencia de ScreenOS: Conceptos y ejemplos

168

Ejemplos de configuracin

Apndice A

Informacin de conexin inalmbrica


Este apndice muestra informacin que podra afectar la implementacin de una LAN inalmbrica (WLAN). Incluye las siguientes secciones:

Nmeros de canal 802.11a en la pgina A-I Canales 802.11b y 802.11g en la pgina A-III Nmeros de canal de modo turbo en la pgina A-IV

Nmeros de canal 802.11a


Esta seccin se aplica solamente a los dispositivos de seguridad con dos radios. Los dominios reguladores son los siguientes:

Centro de ingeniera Telecom (TELEC), Japn Comisin Federal de comunicaciones (FCC), EEUU Instituto europeo de normas en telecomunicaciones (ETSI), Europa MUNDIAL, Todos los pases

La Tabla 6 enumera los pases y los nmeros de canales para 802.11a.


Tabla 6: Nmeros de canal 802.11a Pas
Argentina Australia Austria Blgica Bulgaria Canad Chile Colombia

Cdigo del pas


AR AU AT BE BG CA CL CO

Dominio regulador
MUNDIAL MUNDIAL ETSI ETSI ETSI FCC MUNDIAL MUNDIAL

Canal
56, 60, 64, 149, 153, 157, 161 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165 36, 40, 44, 48 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165

A-I

Manual de referencia de ScreenOS: Conceptos y ejemplos

Pas
Chipre Repblica Checa Dinamarca Estonia Finlandia Francia Alemania Grecia Hong Kong Hungra Islandia India Irlanda Italia Japn Letonia Liechtenstein Lituania Luxemburgo Malta Mxico Mnaco Holanda Nueva Zelanda Noruega Panam Per Filipinas Polonia

Cdigo del pas


CY CZ DK EE FI FR DE GR HK HU IS IN IE IT JP LV LI LT LU MT MX MC NL NZ NO PA PE PH PL

Dominio regulador
ETSI ETSI ETSI ETSI ETSI ETSI ETSI ETSI MUNDIAL ETSI ETSI MUNDIAL ETSI ETSI TELEC ETSI ETSI ETSI ETSI ETSI MUNDIAL ETSI ETSI MUNDIAL ETSI MUNDIAL MUNDIAL MUNDIAL ETSI

Canal
36, 40, 44, 48, 52, 56, 60, 64 36, 40, 44, 48, 52, 56, 60, 64 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165 36, 40, 44, 48, 52, 56, 60, 64 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165 36, 40, 44, 48, 52, 56, 60, 64 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 149, 153, 157, 161, 165 149, 153, 157, 161, 165 149, 153, 157, 161, 165 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140

A-II

Apndice A: Informacin de conexin inalmbrica

Pas
Portugal Arabia Saud Repblica Eslovaca Eslovenia Sudfrica Espaa Suecia Suiza Tailandia Turqua Ucrania Reino Unido Estados Unidos Venezuela

Cdigo del pas


PT SA SK SI ZA ES SE CH TH TR UA GB US VE

Dominio regulador
ETSI MUNDIAL ETSI ETSI ETSI ETSI ETSI ETSI MUNDIAL MUNDIAL MUNDIAL ETSI FCC MUNDIAL

Canal
36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 No disponible 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64 No disponible 36, 40, 44, 48, 52, 56, 60, 64 No disponible 36, 40, 44, 48, 52, 56, 60, 64, 100, 104, 108, 112, 116, 120, 124, 128, 132, 136, 140 36, 40, 44, 48, 52, 56, 60, 64 149, 153, 157, 161

Canales 802.11b y 802.11g


Todos los pases compatibles que se enumeran en la Tabla 6 y Tabla 7, excepto los de la siguiente lista, admiten los canales del 1 al 13 para 802.11b y 802.11g. Los pases enumerados admiten los canales del 1 al 11 para 802.11b y 802.11g.

Canad Colombia Repblica Dominicana Guatemala Mxico Panam Puerto Rico Estados Unidos Uzbekistn

A-III

Manual de referencia de ScreenOS: Conceptos y ejemplos

Nmeros de canal de modo turbo


La Tabla 7 enumera los canales para los modos 802.11a turbo y 802.11g turbo. La columna 802.11a turbo solamente se aplica a los dispositivos de seguridad inalmbricos con dos radios. La columna 802.11g turbo se aplica solamente a los dispositivos de seguridad con una o dos radios.
Tabla 7: Canales para los modos 802.11a turbo y 802.11g turbo. Pas
Albania Argelia Argentina Armenia Australia Austria Azerbaiyn Bahrein Belorusia Blgica Belice Bolivia Brasil Brunei Darussalam Bulgaria Canad Chile Colombia Costa Rica Croacia Chipre Repblica Checa Dinamarca

Cdigo del pas


AL DZ AR AM AU AT AZ BH BY BE BZ BO BR BN BG CA CL CO CR HR CY CZ DK

802,11a Turbo
No disponible No disponible No disponible No disponible 42, 50, 58, 152, 160 No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible 42, 50, 58 42, 50, 58, 152, 160 No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible

802.11g Turbo
6 6 No disponible 6 6 6 6 6 6 6 6 6 6 6 6 6 No disponible 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6

Repblica Dominicana DO Ecuador Egipto El Salvador Estonia Finlandia Francia France_Res Georgia Alemania EC EG SV EE FI FR F2 GE DE

A-IV

Apndice A: Informacin de conexin inalmbrica

Pas
Grecia Guatemala Honduras Hong Kong Hungra Islandia India Indonesia Irn Irlanda Israel Italia Japn Japn1 Japn2 Japn3 Japn4 Japn5 Jordania Kazajistn Corea del Norte Repblica de Corea2 Kuwait Letonia Lbano Liechtenstein Lituania Luxemburgo Macao Macedonia Malasia Malta Mxico Mnaco Marruecos Holanda Nueva Zelanda Noruega Omn

Cdigo del pas


GR GT HN HK HU IS IN ID IR IE IL IT JP J1 J2 J3 J4 J5 JO KZ KP K2 KW LV LB LI LT LU MO MK MY MT MX MC MA NL NZ NO OM

802,11a Turbo
No disponible No disponible No disponible 42, 50, 58, 152, 160 No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible 42, 50, 58, 152, 160 No disponible No disponible No disponible No disponible No disponible No disponible

802.11g Turbo
6 6 6 6 6 6 6 6 6 6 6 6 No disponible No disponible No disponible No disponible No disponible No disponible 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6

A-V

Manual de referencia de ScreenOS: Conceptos y ejemplos

Pas
Pakistn Panam Per Filipinas Polonia Portugal Puerto Rico Qatar Rumania Rusia Arabia Saud Repblica Eslovaca Eslovenia Sudfrica Espaa Suecia Suiza Siria Tailandia Trinidad y Tobago Tnez Turqua Ucrania Emiratos rabes Unidos Reino Unido Estados Unidos Uruguay Uzbekistn Venezuela Vietnam Yemen Zimbabue

Cdigo del pas


PK PA PE PH PL PT PR QA RO RU SA SK SI ZA ES SE CH SY TH TT TN TR UA AE GB US UY UZ VE VN YE ZW

802,11a Turbo
No disponible 42, 50, 58, 152, 160 No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible No disponible 42, 50, 58 No disponible No disponible No disponible No disponible No disponible No disponible

802.11g Turbo
6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6 6

A-VI

ndice
A
ACL ................................................................................140 administrador fiduciario .............................................115 ADSL configuracin de la interfaz ...................................78 introduccin .............................................................78 Tnel VPN ..............................................................103 ATM .................................................................................71 Autenticacin y encriptacin Varias claves WEP .................................................129 Wi-Fi Protected Access vase WPA Wireless Equivalent Privacy vase WEP Autenticacin y encriptacin con servidor RADIUS 130 identificador de ruta virtual vase VPI Identificador de trayecto virtual/Identificador de canal virtual Vese VPI/VCI interfaces fsicas compatibilidad de CSU ...........................................21 modo de paridad de bits C .....................................14 Interfaces inalmbricas asociacin a radio..................................................153 asociacin de SSI a ................................................153 configuracin .........................................................153 desactivar ...............................................................155 Interfaces T3 compatibilidad de CSU ...........................................21 modo de paridad de bits C .....................................14 ISP prioridad .................................................................115 tiempo de espera de conmutacin por error .....116

C
Canales extendidos, configuracin para WLAN .......138 canales y cdigos de pases........................................138 Canales, encontrar disponibles ..................................139 Capa de adaptacin ATM 5 ...........................................78 circuito virtual vase VC Cdigos de pas y canales, dominio regulador .........138 Compatibilidad de CSU, interfaces T3 ........................21 configuracin ADSL 2/2+ PIM .......................................................78 circuitos virtuales ....................................................75 Par VPI/VCI...............................................................76

L
lista de control de acceso vase ACL

M
modo de paridad de bits C ...........................................14 Modo de transferencia asncrona vase ATM Modos de funcionamiento de WLAN WAP clientes 802.11b, configuracin ..................125, 126 Modos de funcionamiento de WLAN WAP clientes 802.11g, configuracin ................................................125 Multiplexado AAL5 ........................................................78 multiplexado, configuracin .........................................76 Multitono discreto vase DMT

D
direccin IP esttica ......................................................79 Direccin IP ISP y mscara de red ..............................77 DMT.................................................................................74

E
Encapsulaciones de AAL5 .............................................70

O G
Grupos en puente inalmbricos .................................154 Opcin del modo de compatibilidad Interfaces T3 ............................................................21

I
identificador de canal virtual vase VCI

P
PPP ..................................................................................70 PPPoA ..................................................................70, 72, 79 PPPoE ........................................................................70, 79
NDICE

IX-I

Manual de referencia de ScreenOS: Conceptos y ejemplos

Protocolo punto a punto a travs de ATM Vese PPPoA Protocolo punto a punto a travs de Ethernet Vase PPPoE proveedor de servicios, informacin del .................... 70

R
Red de rea local inalmbrica vase WLAN

S
seguimiento de IP ........................................................ 117 seguimiento de ruta .................................................... 117 seguimiento de tnel .................................................. 117 sondeo del sitio............................................................ 139 SSID asociacin a interfaz inalmbrica ....................... 153 Subvelocidad, opcin .................................................... 21 Super G ......................................................................... 141 supervisin de VPN ..................................................... 118

umbral de solicitud de envo ...............................150 visualizacin de la informacin de configuracin inalmbrica ..........................................................155 WMM ......................................................................142 XR ...........................................................................141 WLAN, interfaces inalmbricas asociacin ..............................................................153 WMM ajustes predeterminados ......................................144 categoras de acceso .............................................143 configuracin de la calidad del servicio .............143 habilitar ..................................................................142

X
XR, configuracin ........................................................141

V
VC .................................................................................... 70 VCI................................................................................... 70 VPI ................................................................................... 70 VPI/VCI configuracin ........................................................... 76 valores ...................................................................... 78

W
WEP .............................................................................. 129 Wired Equivalent Privacy vase WEP WLAN autenticacin y encriptacin ............................... 128 canales extendidos ............................................... 138 canales y cdigos de pases ................................. 138 configuracin de Super G ..................................... 141 configuraciones, reactivacin .............................. 141 DTIM ....................................................................... 149 encontrar canales disponibles ............................. 139 grupos en puente .................................................. 154 intervalo de baliza ................................................. 148 intervalo de envejecimiento ................................ 147 lista de control de acceso ..................................... 140 longitud del prembulo ........................................ 152 modo de va libre para enviar ............................. 150 parmetros avanzados ......................................... 147 sondeo del sitio ..................................................... 139 tasa de va libre para enviar ................................ 151 tiempo de franja .................................................... 152 tipo de va libre para enviar ................................. 151 umbral de fragmentos .......................................... 149 umbral de rfagas ................................................. 149

IX-II

NDICE