定向广播
定向广播有助于远程管理任务,如 LAN 接口上的备份和唤醒 LAN (WOL),并支持虚拟路由和转发 (VRF) 实例。以下主题讨论定向广播的过程和功能、其配置详细信息以及广播在各种平台上的状态。
概述
定向广播是向目标子网发送源自不同子网的 L3 广播 IP 数据包泛洪的过程。定向广播的目的是使用 LAN 接口上的广播数据包向目标子网进行泛洪,而不向整个网络进行广播。
IP 定向广播是一种技术,其中广播数据包被发送到特定的远程子网,然后在该子网内进行广播。您可以使用 IP 定向广播向指定子网上的主机发送广播数据包,而不向整个网络广播,从而促进远程网络管理。IP 定向广播数据包仅在目标子网上广播。网络的其余部分将 IP 定向广播数据包视为单播数据包,并相应地转发它们。
定向广播在路由器或交换机的出口接口上配置了各种选项,并且 IP 数据包仅在 LAN(出口)接口上广播。定向广播可帮助您在 LAN 接口上实施备份和唤醒 LAN (WOL) 等远程管理任务,并支持 VRF 实例。
源自子网的常规 L3 广播 IP 数据包在同一子网内进行广播。当这些 IP 数据包到达不同的子网时,这些数据包将被转发到路由引擎(以转发到其他应用程序)。因此,无法通过另一个子网在特定子网上执行备份等远程管理任务。解决方法是,您可以启用定向广播以转发源自其他子网的广播数据包。
L3 广播 IP 数据包的目标 IP 地址是目标子网的有效广播地址。这些 IP 数据包以与单播 IP 数据包相同的方式遍历网络,直到数据包到达目标子网,如下所示:
- 在目标子网中,如果接收路由器在出口接口上启用了目标广播,则 IP 数据包将转发至出口接口和路由引擎,或仅转发到出口接口。
- 然后,IP 数据包会转换为广播 IP 数据包,这些数据包仅通过 LAN 接口向目标子网泛洪,并且目标子网上的所有主机都会接收 IP 数据包。如果不存在 LAN 接口,则数据包将被丢弃。
- 该序列的最后一步取决于有针对性的广播:
- 如果接收路由器未启用定向广播,则 IP 数据包将被视为常规第 3 层广播 IP 数据包,并转发至路由引擎。
- 如果在没有任何选项的情况下启用了定向广播,则 IP 数据包将被转发到路由引擎。
您可以将定向广播配置为仅将 IP 数据包转发到出口接口。当路由器有大量需要处理的数据包时,或者同时涌向出口接口和路由引擎时,转发会很有帮助。
在路由引擎 lo0 上配置的任何 防火墙过滤器 都无法应用于由于目标广播而转发到路由引擎的 IP 数据包。原因是广播数据包是作为泛洪下一跳流量转发的,而不是作为本地下一跳流量转发的。对于定向到路由路由引擎的流量,您只能将防火墙过滤器应用于本地下一跃点路由。
定向广播概述
目标广播数据包的目标 IP 地址是作为定向广播目标的子网(目标子网)的有效广播地址。定向广播的目的是用广播数据包淹没目标子网,而不广播到整个网络。目标广播数据包不能源自目标子网。
当您发送目标广播数据包时,当它传输到目标子网时,网络转发它的方式与转发单播数据包的方式相同。当数据包到达直接连接到目标子网的交换机时,交换机会检查直接连接到目标子网的接口上是否启用了目标广播:
-
如果在该接口上启用了定向广播,交换机将目标 IP 地址重写为为子网的配置广播 IP 地址,从而在该子网上广播数据包。交换机将数据包转换为链路层广播数据包,网络上的每台主机都会对其进行处理。
-
如果在直接连接到目标子网的接口上禁用了定向广播,交换机将丢弃数据包。
定向广播实施
您可以通过在子网 VLAN 的 L3 接口上启用目标广播来配置基于子网的目标广播。当连接到该子网的交换机收到以子网的广播 IP 地址作为目标地址的数据包时,交换机会将该数据包广播到子网上的所有主机。
默认情况下,定向广播处于禁用状态。
何时启用定向广播
默认情况下,定向广播处于禁用状态。如果要对未直接连接到 Internet 的子网中的主机执行远程管理或管理服务(如备份或 WOL 任务),请启用定向广播。
在子网上启用定向广播仅影响该子网中的主机。只有在子网的 L3 接口上收到的以子网的广播 IP 地址作为目标地址的数据包才会在子网上泛洪。
何时不启用定向广播
通常,您不会在与 Internet 有直接连接的子网上启用定向广播。在子网的 L3 接口上禁用定向广播仅影响该子网。如果禁用子网上的定向广播,并且具有该子网广播 IP 地址的数据包到达交换机,则交换机将丢弃广播数据包。
如果子网与互联网直接连接,则在其上启用定向广播会增加网络对 DoS 攻击的敏感性。
恶意攻击者可以欺骗源 IP 地址,欺骗网络识别攻击者为合法攻击者。然后,攻击者可以使用 ICMP 回显 (ping) 数据包发送有针对性的广播。当网络上启用了定向广播的主机接收到 ICMP 回显数据包时,主机会向具有欺骗源 IP 地址的受害者发送回复。这些回复会在 DoS 攻击中创建大量 ping 回复,从而淹没称为 smurf 攻击的欺骗源地址。在启用了定向广播的公开网络上,另一种常见的 DoS 攻击是 碎片 攻击。该攻击类似于 Smurf 攻击,不同之处在于恶意数据包是 UDP 回显数据包,而不是 ICMP 回显数据包。
了解定向广播
当数据包到达目标子网并在接收交换机上启用了定向广播时,交换机会将目标广播数据包转换为广播。此转换将使目标子网上的数据包泛洪。目标子网上的所有主机都会接收目标广播数据包。
本主题将介绍:
定向广播概述
目标广播数据包的目标 IP 地址是作为定向广播目标的子网(目标子网)的有效广播地址。定向广播的目的是用广播数据包淹没目标子网,而不广播到整个网络。目标广播数据包不能源自目标子网。
当您发送目标广播数据包时,当它传输到目标子网时,网络转发它的方式与转发单播数据包的方式相同。当数据包到达直接连接到目标子网的交换机时,交换机会检查直接连接到目标子网的接口上是否启用了目标广播:
如果在该接口上启用了定向广播,交换机将目标 IP 地址重写为为子网的配置广播 IP 地址,从而在该子网上广播数据包。交换机将数据包转换为链路层广播数据包,网络上的每台主机都会对其进行处理。
如果在直接连接到目标子网的接口上禁用了定向广播,交换机将丢弃数据包。
定向广播实施
您可以通过在子网 VLAN 的 L3 接口上启用目标广播来配置基于子网的目标广播。当连接到该子网的交换机收到以子网的广播 IP 地址作为目标地址的数据包时,交换机会将该数据包广播到子网上的所有主机。
默认情况下,定向广播处于禁用状态。
何时启用定向广播
默认情况下,定向广播处于禁用状态。如果要对未直接连接到 Internet 的子网中的主机执行远程管理或管理服务(如备份或 WOL 任务),请启用定向广播。
在子网上启用定向广播仅影响该子网中的主机。只有在子网的 L3 接口上收到的以子网的广播 IP 地址作为目标地址的数据包才会在子网上泛洪。
何时不启用定向广播
通常,您不会在与 Internet 有直接连接的子网上启用定向广播。在子网的 L3 接口上禁用定向广播仅影响该子网。如果禁用子网上的定向广播,并且具有该子网广播 IP 地址的数据包到达交换机,则交换机将丢弃广播数据包。
如果子网与互联网直接连接,则在其上启用定向广播会增加网络对 DoS 攻击的敏感性。
恶意攻击者可以欺骗源 IP 地址,欺骗网络识别攻击者为合法攻击者。然后,攻击者可以使用 ICMP 回显 (ping) 数据包发送有针对性的广播。当网络上启用了定向广播的主机接收到 ICMP 回显数据包时,主机会向具有欺骗源 IP 地址的受害者发送回复。这些回复会在 DoS 攻击中创建大量 ping 回复,从而淹没称为 smurf 攻击的欺骗源地址。在启用了定向广播的公开网络上,另一种常见的 DoS 攻击是 碎片 攻击。该攻击类似于 Smurf 攻击,不同之处在于恶意数据包是 UDP 回显数据包,而不是 ICMP 回显数据包。
配置定向广播
配置定向广播
您可以使用不同的选项在出口接口上配置定向广播。
以下任一配置都是可以接受的:
-
您可以允许发往第 3 层地址的 IP 广播数据包通过出口接口转发,并将 IP 广播数据包的副本发送到路由引擎。
-
您只能允许通过出口接口转发 IP 广播数据包。
请注意,仅当出口接口是 LAN 接口时,才会广播数据包。
要配置定向广播及其选项,请执行以下作:
显示定向广播配置选项
以下示例主题显示定向广播配置选项:
将出口接口上的 IP 广播数据包转发到路由引擎
目的
在出口接口上配置目标广播以转发出口接口上的 IP 广播数据包并向路由引擎发送相同数据包的副本时,显示配置。
行动
要显示配置,请在 [edit interfaces interface-name unit interface-unit-number family inet] 运行命令,show其中接口名称为 ge-2/0/0,单元值设置为 0,协议族设置为 inet。
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
要显示 irb 的配置,请在 [edit interfaces irb unit interface-unit-number family inet]上运行show命令。
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
仅在出口接口上转发 IP 广播数据包
目的
当在出口接口上配置目标广播以仅在出口接口上转发 IP 广播数据包时,显示配置。
行动
要显示配置,请在 [edit interfaces interface-name unit interface-unit-number family inet] 运行命令,show其中接口名称为 ge-2/0/0,单元值设置为 0,协议族设置为 inet。
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
要显示配置,请在 [edit interfaces irb unit interface-unit-number family inet]中运行show命令。
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}