Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

有针对性的广播

了解定向广播以及如何配置定向广播。

有针对性的广播有助于执行远程管理任务,例如LAN接口上的备份和唤醒LAN (WOL),并支持虚拟路由和转发 (VRF) 实例。以下主题讨论定向广播的流程和功能、其配置细节以及广播在各个平台上的状态。

概述

有针对性的广播是使用来自不同子网的 L3 广播 IP 数据包在目标子网中泛洪的过程。有针对性广播的目的是在LAN接口上使用广播数据包在目标子网泛洪,而不向整个网络广播。

IP 定向广播是一种技术,其中将广播数据包发送到特定的远程子网,然后在该子网内广播。您可以使用 IP 定向广播,将广播数据包发送到指定子网上的主机,而无需向整个网络广播,从而促进广播。IP 定向广播数据包仅在目标子网上广播。网络的其余部分将 IP 定向广播数据包视为单播数据包,并相应地转发数据包。

定向广播在路由器或交换机的出口接口上配置了各种选项,并且 IP 数据包仅在 LAN(出口)接口上广播。有针对性的广播可帮助您在LAN接口上实施远程管理任务,例如备份和唤醒LAN (WOL),并支持 VRF 实例。

源自子网的常规 L3 广播 IP 数据包在同一子网内广播。当这些 IP 数据包到达不同的子网时,数据包将被转发到路由引擎(以转发至其他应用程序)。因此,无法通过另一个子网在特定子网上执行备份等远程管理任务。作为一种解决方法,您可以启用定向广播以转发源自不同子网的广播数据包。

L3 广播 IP 数据包的目标 IP 地址是目标子网的有效广播地址。这些 IP 数据包遍历网络的方式与单播 IP 数据包相同,直到数据包到达目标子网,如下所示:

  1. 在目标子网中,如果接收路由器在出口接口上启用了有针对性的广播,则 IP 数据包将仅转发到出口接口和路由引擎,或仅转发到出口接口。
  2. 然后,IP 数据包被转换为广播 IP 数据包,这些数据包仅通过 LAN 接口泛洪目标子网,目标子网上的所有主机都会接收 IP 数据包。如果不存在 LAN 接口,则数据包将被丢弃。
  3. 序列的最后一步取决于有针对性的广播:
    • 如果接收路由器上未启用有针对性的广播,则 IP 数据包将被视为常规第 3 层广播 IP 数据包,并转发到路由引擎。
    • 如果在没有任何选项的情况下启用了定向广播,则 IP 数据包将转发到路由引擎。

您可以将定向广播配置为仅将 IP 数据包转发到出口接口。当路由器被要处理的数据包淹没时,或者转发到出口接口和路由引擎的数据包时,转发非常有用。

在路由引擎 lo0 上配置的任何 防火墙过滤器 都不能应用于由于目标广播而转发到路由引擎的 IP 数据包。原因是广播数据包会作为泛洪下一跃点流量转发,而不是本地下一跃点流量。对于定向至路由引擎的流量,您只能将防火墙过滤器应用于本地下一跃点路由。

有针对性的广播实施

通过在子网 VLAN 的 L3 接口上启用有针对性的广播,可以为每个子网配置有针对性的广播。当连接到该子网的交换机收到以该子网的广播 IP 地址作为目标地址的数据包时,交换机会将该数据包广播到该子网上的所有主机。

默认情况下,有针对性的广播处于禁用状态。

何时启用定向广播

默认情况下,定向广播处于禁用状态。如果要在未与 Internet 直接连接的子网中的主机上执行远程管理或管理服务(如备份或 WOL 任务)时,启用定向广播。

在子网上启用定向广播只会影响该子网中的主机。只有在子网的 L3 接口上收到的以子网的广播 IP 地址作为目标地址的数据包才会在子网上泛洪。

何时不启用定向广播

通常,不会在与 Internet 直接连接的子网上启用定向广播。在子网的 L3 接口上禁用定向广播只会影响该子网。如果禁用子网上的定向广播,并且具有该子网广播 IP 地址的数据包到达交换机,交换机将丢弃该广播数据包。

如果子网与 Internet 直接连接,则在其上启用有针对性的广播会增加网络对 DoS 攻击的敏感性。

恶意攻击者可以欺骗源 IP 地址,欺骗网络将攻击者识别为合法攻击者。然后,攻击者可以使用 ICMP 回显 (ping) 数据包发送有针对性的广播。当启用了目标广播的网络上的主机收到 ICMP 回显数据包时,主机会向具有欺骗源 IP 地址的受害者发送回复。这些回复会在 DoS 攻击中产生大量 ping 回复,从而淹没欺骗源地址(称为 Smurf 攻击)。在启用了有针对性的广播的暴露网络上,另一种常见的 DoS 攻击是 碎片 攻击。此攻击类似于 Smurf 攻击,不同之处在于恶意数据包是 UDP 回显数据包,而非 ICMP 回显数据包。

配置定向广播

配置定向广播

您可以使用不同的选项在出口接口上配置定向广播。

以下任一配置都是可以接受的:

  • 您可以允许通过出口接口转发发往 L3 地址的 IP 广播数据包,并将 IP 广播数据包的副本发送到路由引擎。

  • 您只能允许仅通过出口接口转发 IP 广播数据包。

请注意,仅当出口接口是 LAN 接口时,才会对数据包进行广播。

要配置定向广播及其选项,请执行以下操作:

  1. 配置接口。

  2. 层次结构级别配置 [edit interfaces interface-name 逻辑单元号。
  3. 层次结构级别将 [edit interfaces interface-name unit interface-unit-number 协议家族配置为 inet。
  4. 在层次结构级别配置[edit interfaces interface-name unit interface-unit-number family inet定向广播。
  5. IP 广播数据包转发到第 3 层地址:
    1. 并通过出口接口,并将相同数据包的副本发送到路由引擎。

    2. 仅通过出口接口。

显示有针对性的广播配置选项

以下示例主题显示有针对性的广播配置选项:

在出口接口上转发 IP 广播数据包并转发至路由引擎

目的

显示在出口接口上配置目标广播以在出口接口上转发 IP 广播数据包并将相同数据包的副本发送到路由引擎时的配置。

行动

要显示配置,请在 show 运行命令 [edit interfaces interface-name unit interface-unit-number family inet] ,其中接口名称为 ge-2/0/0,unit 值设置为 0,协议家族设置为 inet。

要显示 irb 的配置,请在 show [edit interfaces irb unit interface-unit-number family inet].

仅在出口接口上转发 IP 广播数据包

目的

当在出口接口上配置了目标广播时,显示该配置仅在出口接口上转发 IP 广播数据包。

行动

要显示配置,请在 show 运行命令 [edit interfaces interface-name unit interface-unit-number family inet] ,其中接口名称为 ge-2/0/0,unit 值设置为 0,协议家族设置为 inet。

要显示配置,请在 show [edit interfaces irb unit interface-unit-number family inet].

配置定向广播(CLI 过程)

开始配置定向广播之前:

由于暴露于 DoS 攻击的风险增加,建议不要在与 Internet 直接连接的子网上启用定向广播。

此任务可将 Junos OS 用于不支持 ELS 配置样式的 EX 系列交换机。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI

您可以在EX 系列交换机交换机上使用有针对性的广播,通过向指定子网上的主机发送广播数据包来促进远程网络管理,而无需向整个网络广播。目标广播数据包仅在目标子网上广播。网络的其余部分将目标广播数据包视为单播数据包,并相应地转发数据包。

要为指定子网启用有针对性的广播,请执行以下操作:

  1. 目标子网的逻辑接口添加到 VLAN:
  2. 作为目标广播数据包目标的 VLAN 上配置 L3 接口:
  3. L3 接口与 VLAN 进行关联:
  4. 启用 VLAN 的 L3 接口以接收有针对性的广播:

示例:在交换机上配置定向广播

定向广播提供了一种将广播数据包发送到指定子网上的主机的方法,而无需将这些数据包广播到整个网络上的主机。

此示例说明如何使子网能够接收目标广播数据包,以便您可以远程执行备份和其他网络管理任务:

要求

此示例使用以下软件和硬件组件:

  • EX 系列交换机使用 Junos OS 9.4 或更高版本,QFX10000 交换机使用 Junos OS 15.1X53-D10 版本。

  • 一台电脑

  • 一台 EX 系列交换机或 QFX10000 交换机

在为子网配置定向广播之前:

概述和拓扑

您可能希望执行远程管理任务(如备份和 WOL 应用程序任务)来管理子网上的客户端组。执行管理任务的一种方法是发送针对特定目标子网中的主机的目标广播数据包。

网络转发有针对性的广播数据包,就好像这些数据包是单播数据包一样。当启用了 的 VLAN targeted-broadcast接收到目标广播数据包时,交换机会将数据包广播到其子网中的所有主机。

在此拓扑中(参见 图 1),主机连接到交换机上的接口,以管理子网 10.1.2.1/24中的客户端。当交换机收到以目标子网的广播 IP 地址作为目的地址的数据包时,它会将数据包转发到子网的第 3 层接口,并将其广播到子网中的所有主机。

图 1:定向广播 Network diagram showing a Management PC connected to an EX Series Switch via interface ge-0/0/3.0. The Ingress VLAN has IP 10.1.1.1/24. The Egress VLAN, with IP 10.1.2.1/24, connects via interfaces ge-0/0/0.0 and ge-0/0/1.0.拓扑

拓扑结构

表 1 显示了本例中组件的设置。

表 1:目标广播拓扑的构成部分
属性 设置

入口 VLAN 名称

v0

入口 VLAN IP 地址

10.1.1.1/24

出口 VLAN 名称

v1

出口 VLAN IP 地址

10.1.2.1/24

VLAN v0 中的接口

ge-0/0/3.0

VLAN v1 中的接口

ge-0/0/0.0以及ge-0/0/1.0

验证定向广播状态

目的

验证是否已启用目标定向广播,并且是否在子网上工作。

行动

使用此 show vlans extensive 命令验证目标广播是否已启用并在子网上正常工作。

也可以看看

验证定向广播状态

目的

验证是否已启用目标定向广播,并且是否在子网上工作。

行动

使用此 show vlans extensive 命令验证目标广播是否已启用并在子网上正常工作。