Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

定向广播

了解定向广播以及如何配置定向广播。

定向广播有助于远程管理任务,如 LAN 接口上的备份和唤醒 LAN (WOL),并支持虚拟路由和转发 (VRF) 实例。以下主题讨论定向广播的过程和功能、其配置详细信息以及广播在各种平台上的状态。

概述

定向广播是向目标子网发送源自不同子网的 L3 广播 IP 数据包泛洪的过程。定向广播的目的是使用 LAN 接口上的广播数据包向目标子网进行泛洪,而不向整个网络进行广播。

定向广播在路由器或交换机的出口接口上配置了各种选项,并且 IP 数据包仅在 LAN(出口)接口上广播。定向广播可帮助您在 LAN 接口上实施备份和唤醒 LAN (WOL) 等远程管理任务,并支持 VRF 实例。

源自子网的常规 L3 广播 IP 数据包在同一子网内进行广播。当这些 IP 数据包到达不同的子网时,这些数据包将被转发到路由引擎(以转发到其他应用程序)。因此,无法通过另一个子网在特定子网上执行备份等远程管理任务。解决方法是,您可以启用定向广播以转发源自其他子网的广播数据包。

L3 广播 IP 数据包的目标 IP 地址是目标子网的有效广播地址。这些 IP 数据包以与单播 IP 数据包相同的方式遍历网络,直到数据包到达目标子网,如下所示:

  1. 在目标子网中,如果接收路由器在出口接口上启用了目标广播,则 IP 数据包将转发至出口接口和路由引擎,或仅转发到出口接口。
  2. 然后,IP 数据包会转换为广播 IP 数据包,这些数据包仅通过 LAN 接口向目标子网泛洪,并且目标子网上的所有主机都会接收 IP 数据包。如果不存在 LAN 接口,则数据包将被丢弃。
  3. 该序列的最后一步取决于有针对性的广播:
    • 如果接收路由器未启用定向广播,则 IP 数据包将被视为常规第 3 层广播 IP 数据包,并转发至路由引擎。
    • 如果在没有任何选项的情况下启用了定向广播,则 IP 数据包将被转发到路由引擎。

您可以将定向广播配置为仅将 IP 数据包转发到出口接口。当路由器有大量需要处理的数据包时,或者同时涌向出口接口和路由引擎时,转发会很有帮助。

在路由引擎 lo0 上配置的任何 防火墙过滤器 都无法应用于由于目标广播而转发到路由引擎的 IP 数据包。原因是广播数据包是作为泛洪下一跳流量转发的,而不是作为本地下一跳流量转发的。对于定向到路由路由引擎的流量,您只能将防火墙过滤器应用于本地下一跃点路由。

了解定向广播

当数据包到达目标子网并在接收交换机上启用了定向广播时,交换机会将目标广播数据包转换为广播。此转换将使目标子网上的数据包泛洪。目标子网上的所有主机都会接收目标广播数据包。

本主题将介绍:

定向广播概述

目标广播数据包的目标 IP 地址是作为定向广播目标的子网(目标子网)的有效广播地址。定向广播的目的是用广播数据包淹没目标子网,而不广播到整个网络。目标广播数据包不能源自目标子网。

当您发送目标广播数据包时,当它传输到目标子网时,网络转发它的方式与转发单播数据包的方式相同。当数据包到达直接连接到目标子网的交换机时,交换机会检查直接连接到目标子网的接口上是否启用了目标广播:

  • 如果在该接口上启用了定向广播,交换机将目标 IP 地址重写为为子网的配置广播 IP 地址,从而在该子网上广播数据包。交换机将数据包转换为链路层广播数据包,网络上的每台主机都会对其进行处理。

  • 如果在直接连接到目标子网的接口上禁用了定向广播,交换机将丢弃数据包。

定向广播实施

您可以通过在子网 VLAN 的 L3 接口上启用目标广播来配置基于子网的目标广播。当连接到该子网的交换机收到以子网的广播 IP 地址作为目标地址的数据包时,交换机会将该数据包广播到子网上的所有主机。

默认情况下,定向广播处于禁用状态。

何时启用定向广播

默认情况下,定向广播处于禁用状态。如果要对未直接连接到 Internet 的子网中的主机执行远程管理或管理服务(如备份或 WOL 任务),请启用定向广播。

在子网上启用定向广播仅影响该子网中的主机。只有在子网的 L3 接口上收到的以子网的广播 IP 地址作为目标地址的数据包才会在子网上泛洪。

何时不启用定向广播

通常,您不会在与 Internet 有直接连接的子网上启用定向广播。在子网的 L3 接口上禁用定向广播仅影响该子网。如果禁用子网上的定向广播,并且具有该子网广播 IP 地址的数据包到达交换机,则交换机将丢弃广播数据包。

如果子网与互联网直接连接,则在其上启用定向广播会增加网络对 DoS 攻击的敏感性。

恶意攻击者可以欺骗源 IP 地址,欺骗网络识别攻击者为合法攻击者。然后,攻击者可以使用 ICMP 回显 (ping) 数据包发送有针对性的广播。当网络上启用了定向广播的主机接收到 ICMP 回显数据包时,主机会向具有欺骗源 IP 地址的受害者发送回复。这些回复会在 DoS 攻击中创建大量 ping 回复,从而淹没称为 smurf 攻击的欺骗源地址。在启用了定向广播的公开网络上,另一种常见的 DoS 攻击是 碎片 攻击。该攻击类似于 Smurf 攻击,不同之处在于恶意数据包是 UDP 回显数据包,而不是 ICMP 回显数据包。

配置定向广播

配置定向广播

您可以使用不同的选项在出口接口上配置定向广播。

以下任一配置都是可以接受的:

  • 您可以允许发往第 3 层地址的 IP 广播数据包通过出口接口转发,并将 IP 广播数据包的副本发送到路由引擎。

  • 您只能允许通过出口接口转发 IP 广播数据包。

请注意,仅当出口接口是 LAN 接口时,才会广播数据包。

要配置定向广播及其选项,请执行以下作:

  1. 配置接口。

  2. [edit interfaces interface-name层次结构级别配置逻辑单元号。
  3. [edit interfaces interface-name unit interface-unit-number层次结构级别将协议家族配置为 inet。
  4. [edit interfaces interface-name unit interface-unit-number family inet层次结构级别配置定向广播。
  5. 将 IP 广播数据包转发至第 3 层地址:
    1. 通过出口接口,并将相同数据包的副本发送到路由引擎。

    2. 仅通过出口接口。

显示定向广播配置选项

以下示例主题显示定向广播配置选项:

将出口接口上的 IP 广播数据包转发到路由引擎

目的

在出口接口上配置目标广播以转发出口接口上的 IP 广播数据包并向路由引擎发送相同数据包的副本时,显示配置。

行动

要显示配置,请在 [edit interfaces interface-name unit interface-unit-number family inet] 运行命令,show其中接口名称为 ge-2/0/0,单元值设置为 0,协议族设置为 inet。

要显示 irb 的配置,请在 [edit interfaces irb unit interface-unit-number family inet]上运行show命令。

仅在出口接口上转发 IP 广播数据包

目的

当在出口接口上配置目标广播以仅在出口接口上转发 IP 广播数据包时,显示配置。

行动

要显示配置,请在 [edit interfaces interface-name unit interface-unit-number family inet] 运行命令,show其中接口名称为 ge-2/0/0,单元值设置为 0,协议族设置为 inet。

要显示配置,请在 [edit interfaces irb unit interface-unit-number family inet]中运行show命令。

配置定向广播(CLI 过程)

开始配置定向广播之前:

建议不要在与 Internet 直接连接的子网上启用定向广播,因为这样会增加遭受 DoS 攻击的风险。

此任务可将 Junos OS 用于不支持 ELS 配置样式的 EX 系列交换机。有关 ELS 的详细信息,请参阅 使用增强型第 2 层软件 CLI

您可以在 EX 系列交换机上使用定向广播,通过向指定子网上的主机发送广播数据包,而不向整个网络广播,从而简化远程网络管理。目标广播数据包仅在目标子网上进行广播。网络的其余部分将目标广播数据包视为单播数据包,并相应地转发这些数据包。

要为指定子网启用定向广播,请执行以下作:

  1. 将目标子网的逻辑接口添加到 VLAN:
  2. 在作为目标广播数据包目标的 VLAN 上配置 L3 接口:
  3. 将 L3 接口与 VLAN 进行关联:
  4. 启用 VLAN 的 L3 接口以接收目标广播:

示例:在交换机上配置定向广播

定向广播提供了一种向指定子网上的主机发送广播数据包的方法,而不将这些数据包广播到整个网络上的主机。

此示例说明如何使子网能够接收目标广播数据包,以便远程执行备份和其他网络管理任务:

要求

此示例使用以下软件和硬件组件:

  • EX 系列交换机使用 Junos OS 9.4 或更高版本,QFX10000交换机使用 Junos OS 15.1X53-D10 版本。

  • 一台电脑

  • 一台EX 系列交换机或QFX10000交换机

在为子网配置目标广播之前:

概述和拓扑

您可能希望执行远程管理任务(如备份和 WOL 应用程序任务)来管理子网上的客户端组。执行管理任务的一种方法是发送针对特定目标子网中的主机的目标广播数据包。

网络转发有针对性的广播数据包,就好像这些数据包是单播数据包一样。当启用了目标广播数据包的 VLAN 接收到目标 targeted-broadcast广播数据包时,交换机会将数据包广播到其子网中的所有主机。

在此拓扑中(参见 图 1),主机连接到交换机上的接口,以管理子网 10.1.2.1/24中的客户端。当交换机收到以目标子网的广播 IP 地址作为其目的地址的数据包时,它会将该数据包转发至子网的第 3 层接口,并将其广播至子网内的所有主机。

图 1:定向广播 Topology for Targeted Broadcast拓扑

拓扑学

表 1 显示了此示例中组件的设置。

表 1:目标广播拓扑的构成部分
属性 设置

入口 VLAN 名称

v0

入口 VLAN IP 地址

10.1.1.1/24

出口 VLAN 名称

v1

出口 VLAN IP 地址

10.1.2.1/24

VLAN v0 中的接口

ge-0/0/3.0

VLAN v1 中的接口

ge-0/0/0.0ge-0/0/1.0

另见

验证 IP 定向广播状态

目的

验证是否已启用 IP 定向广播,以及是否在子网上运行。

行动

show vlans extensive使用命令验证是否已启用 IP 定向广播,以及是否在子网上运行,如示例:在交换机上配置 IP 定向广播中所示。