Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Gezielte Übertragung

Erfahren Sie mehr über gezielte Broadcasts und wie Sie gezielte Broadcasts konfigurieren.

Gezielte Übertragung hilft bei Remote-Verwaltungsaufgaben wie Backups und Wake-on-LAN (WOL) auf einer LAN-Schnittstelle und unterstützt virtuelle Routing- und Weiterleitungsinstanzen (VRF). Im folgenden Thema werden der Prozess und die Funktionsweise von Targeted Broadcast, seine Konfigurationsdetails und der Status der Übertragung auf verschiedenen Plattformen erläutert.

Überblick

Gezielter Broadcast ist ein Prozess, bei dem ein Zielsubnetz mit L3-Broadcast-IP-Paketen überflutet wird, die aus einem anderen Subnetz stammen. Der Zweck von Targeted Broadcast besteht darin, das Zielsubnetz mit den Broadcast-Paketen auf einer LAN-Schnittstelle zu überfluten, ohne an das gesamte Netzwerk zu senden.

IP-gerichtete Übertragung ist eine Technik, bei der ein Broadcast-Paket an ein bestimmtes Remote-Subnetz gesendet und dann innerhalb dieses Subnetzes gesendet wird. Sie können IP-gerichtete Broadcasts verwenden, um die Remote-Netzwerkverwaltung zu erleichtern, indem Sie Broadcast-Pakete an Hosts in einem bestimmten Subnetz senden, ohne an das gesamte Netzwerk zu senden. IP-gerichtete Broadcastpakete werden nur im Zielsubnetz übertragen. Der Rest des Netzwerks behandelt IP-gerichtete Broadcast-Pakete als Unicast-Pakete und leitet sie entsprechend weiter.

Targeted Broadcast wird mit verschiedenen Optionen auf der Ausgangsschnittstelle des Routers oder Switches konfiguriert, und die IP-Pakete werden nur über die LAN-Schnittstelle (Ausgang) übertragen. Targeted Broadcast unterstützt Sie bei der Implementierung von Remote-Verwaltungsaufgaben wie Sicherungen und Wake-on-LAN (WOL) auf einer LAN-Schnittstelle und unterstützt VRF-Instanzen.

Reguläre L3-Broadcast-IP-Pakete, die aus einem Subnetz stammen, werden innerhalb desselben Subnetzes übertragen. Wenn diese IP-Pakete ein anderes Subnetz erreichen, werden die Pakete an die Routing-Engine weitergeleitet (um an andere Anwendungen weitergeleitet zu werden). Daher können Remoteverwaltungsaufgaben wie Sicherungen in einem bestimmten Subnetz nicht über ein anderes Subnetz ausgeführt werden. Um dieses Problem zu umgehen, können Sie Targeted Broadcast aktivieren, um Broadcastpakete weiterzuleiten, die aus einem anderen Subnetz stammen.

L3-Broadcast-IP-Pakete haben eine Ziel-IP-Adresse, die eine gültige Broadcast-Adresse für das Zielsubnetz ist. Diese IP-Pakete durchlaufen das Netzwerk auf die gleiche Weise wie Unicast-IP-Pakete, bis die Pakete das Zielsubnetz wie folgt erreichen:

  1. Wenn der empfangende Router im Zielsubnetz Targeted Broadcast auf der Ausgangsschnittstelle aktiviert hat, werden die IP-Pakete nur an eine Ausgangsschnittstelle und die Routing-Engine oder nur an eine Ausgangsschnittstelle weitergeleitet.
  2. Die IP-Pakete werden dann in Broadcast-IP-Pakete übersetzt, die das Zielsubnetz nur über die LAN-Schnittstelle fluten, und alle Hosts im Zielsubnetz empfangen die IP-Pakete. Die Pakete werden verworfen, wenn keine LAN-Schnittstelle vorhanden ist.
  3. Der letzte Schritt in der Sequenz hängt von der gezielten Übertragung ab:
    • Wenn die gezielte Übertragung auf dem empfangenden Router nicht aktiviert ist, werden die IP-Pakete wie reguläre Layer-3-Broadcast-IP-Pakete behandelt und an die Routing-Engine weitergeleitet.
    • Wenn die gezielte Übertragung ohne Optionen aktiviert ist, werden die IP-Pakete an die Routing-Engine weitergeleitet.

Sie können Targeted Broadcast so konfigurieren, dass die IP-Pakete nur an eine Ausgangsschnittstelle weitergeleitet werden. Die Weiterleitung ist hilfreich, wenn der Router mit zu verarbeitenden Paketen überflutet wird, oder sowohl zu einer Ausgangsschnittstelle als auch zur Routing-Engine.

Firewallfilter, die auf der Routing-Engine lo0 konfiguriert sind, können nicht auf IP-Pakete angewendet werden, die als Ergebnis eines gezielten Broadcasts an die Routing-Engine weitergeleitet werden. Der Grund dafür ist, dass Broadcast-Pakete als Flood-Next-Hop-Datenverkehr und nicht als lokaler Next-Hop-Datenverkehr weitergeleitet werden. Sie können einen Firewallfilter nur auf lokale Next-Hop-Routen für Datenverkehr anwenden, der an die Routing-Engine gerichtet ist.

Targeted Broadcast – Überblick

Ziel-Broadcast-Pakete haben eine Ziel-IP-Adresse, die eine gültige Broadcast-Adresse für das Subnetz ist, das das Ziel des gerichteten Broadcasts ist (das Zielsubnetz). Die Absicht eines gezielten Broadcasts besteht darin, das Zielsubnetz mit den Broadcast-Paketen zu überfluten, ohne an das gesamte Netzwerk zu senden. Gezielte Broadcastpakete können nicht aus dem Zielsubnetz stammen.

Wenn Sie ein gezieltes Broadcastpaket auf dem Weg zum Zielsubnetz senden, leitet das Netzwerk es auf die gleiche Weise weiter wie ein Unicastpaket. Wenn das Paket einen Switch erreicht, der direkt mit dem Ziel-Subnetz verbunden ist, prüft der Switch, ob Targeted Broadcast auf der Schnittstelle, die direkt mit dem Ziel-Subnetz verbunden ist, aktiviert ist:

  • Wenn Targeted Broadcast auf dieser Schnittstelle aktiviert ist, sendet der Switch das Paket in diesem Subnetz, indem er die Ziel-IP-Adresse in die konfigurierte Broadcast-IP-Adresse für das Subnetz umschreibt. Der Switch wandelt das Paket in ein Link-Layer-Broadcast-Paket um, das von jedem Host im Netzwerk verarbeitet wird.

  • Wenn Targeted Broadcast auf der Schnittstelle, die direkt mit dem Ziel-Subnetz verbunden ist, deaktiviert ist, verwirft der Switch das Paket.

Gezielte Broadcast-Implementierung

Sie konfigurieren die gezielte Übertragung auf Subnetzbasis, indem Sie die gezielte Übertragung auf der L3-Schnittstelle des VLANs des Subnetzes aktivieren. Wenn der Switch, der mit diesem Subnetz verbunden ist, ein Paket empfängt, das die Broadcast-IP-Adresse des Subnetzes als Zieladresse hat, sendet der Switch das Paket an alle Hosts im Subnetz.

Standardmäßig ist die gezielte Übertragung deaktiviert.

Wann sollte die gezielte Übertragung aktiviert werden?

Gezielte Übertragung ist standardmäßig deaktiviert. Aktivieren Sie die gezielte Übertragung, wenn Sie Remote-Management- oder Verwaltungsservices wie Sicherungen oder WOL-Aufgaben auf Hosts in einem Subnetz ausführen möchten, das keine direkte Verbindung zum Internet hat.

Die Aktivierung der gezielten Übertragung in einem Subnetz wirkt sich nur auf die Hosts innerhalb dieses Subnetzes aus. Nur Pakete, die über die L3-Schnittstelle des Subnetzes empfangen werden und die Broadcast-IP-Adresse des Subnetzes als Zieladresse haben, werden im Subnetz überflutet.

Wann die gezielte Übertragung nicht aktiviert werden sollte

In der Regel aktivieren Sie keine gezielte Übertragung in Subnetzen, die über direkte Verbindungen mit dem Internet verfügen. Das Deaktivieren der gezielten Übertragung auf der L3-Schnittstelle eines Subnetzes wirkt sich nur auf dieses Subnetz aus. Wenn Sie die gezielte Übertragung in einem Subnetz deaktivieren und ein Paket mit der Broadcast-IP-Adresse dieses Subnetzes beim Switch eintrifft, verwirft der Switch das Broadcast-Paket.

Wenn ein Subnetz über eine direkte Verbindung zum Internet verfügt, erhöht die Aktivierung gezielter Übertragung die Anfälligkeit des Netzwerks für DoS-Angriffe.

Ein böswilliger Angreifer kann eine Quell-IP-Adresse fälschen, um ein Netzwerk dazu zu verleiten, den Angreifer als legitim zu identifizieren. Der Angreifer kann dann gezielte Broadcasts mit ICMP-Echo-Paketen (Ping) senden. Wenn die Hosts im Netzwerk mit aktivierter gezielter Übertragung die ICMP-Echopakete empfangen, senden die Hosts Antworten an das Opfer mit der gefälschten Quell-IP-Adresse. Die Antworten erzeugen bei einem DoS-Angriff eine Flut von Ping-Antworten, die die gefälschte Quelladresse überwältigen können, die als Smurf-Angriff bekannt ist. Ein weiterer häufiger DoS-Angriff auf gefährdete Netzwerke mit aktivierter gezielter Übertragung ist ein Fraggle-Angriff . Der Angriff ähnelt einem Smurf-Angriff, mit dem Unterschied, dass es sich bei dem bösartigen Paket um ein UDP-Echopaket und nicht um ein ICMP-Echopaket handelt.

Gezielte Übertragung konfigurieren

Gezielte Übertragung konfigurieren

Sie können Targeted Broadcast auf einer Ausgangsschnittstelle mit verschiedenen Optionen konfigurieren.

Jede der folgenden Konfigurationen ist akzeptabel:

  • Sie können zulassen, dass die IP-Broadcast-Pakete, die für eine Layer-3-Adresse bestimmt sind, über die Ausgangsschnittstelle weitergeleitet werden und eine Kopie der IP-Broadcast-Pakete an die Routing-Engine senden.

  • Sie können zulassen, dass IP-Broadcast-Pakete nur über die Ausgangsschnittstelle weitergeleitet werden.

Beachten Sie, dass die Pakete nur dann übertragen werden, wenn es sich bei der Ausgangsschnittstelle um eine LAN-Schnittstelle handelt.

So konfigurieren Sie gezielte Übertragungen und ihre Optionen:

  1. Konfigurieren Sie die Schnittstelle.

    oder

  2. Konfigurieren Sie die Nummer der logischen Einheit auf der [edit interfaces interface-name Hierarchieebene.
  3. Konfigurieren Sie die Protokollfamilie als inet auf Hierarchieebene[edit interfaces interface-name unit interface-unit-number.
  4. Konfigurieren Sie gezielte Übertragung auf Hierarchieebene[edit interfaces interface-name unit interface-unit-number family inet.
  5. Weiterleiten von IP-Broadcast-Paketen an eine Layer-3-Adresse:
    1. und eine Kopie derselben Pakete über die Ausgangsschnittstelle und eine Kopie derselben Pakete an die Routing-Engine senden.

      oder

    2. nur über die Ausgangsschnittstelle.

Konfigurationsoptionen für gezielte Broadcast-Sendungen anzeigen

In den folgenden Beispielthemen werden Konfigurationsoptionen für gezielte Übertragungen angezeigt:

Weiterleiten von IP-Broadcast-Paketen an die Ausgangsschnittstelle und an die Routing-Engine

Zweck

Zeigen Sie die Konfiguration an, wenn Targeted Broadcast auf der Ausgangsschnittstelle konfiguriert ist, um die IP-Broadcast-Pakete auf der Ausgangsschnittstelle weiterzuleiten und eine Kopie derselben Pakete an die Routing-Engine zu senden.

Aktion

Um die Konfiguration anzuzeigen, führen Sie den show Befehl an wobei [edit interfaces interface-name unit interface-unit-number family inet] der Schnittstellenname ge-2/0/0, der Einheitenwert auf 0 und die Protokollfamilie auf inet festgelegt ist.

Um die Konfiguration für irb anzuzeigen, führen Sie den show Befehl unter [edit interfaces irb unit interface-unit-number family inet].

Weiterleiten von IP-Broadcast-Paketen nur auf der Ausgangsschnittstelle

Zweck

Zeigen Sie die Konfiguration an, wenn der gezielte Broadcast auf der Ausgangsschnittstelle so konfiguriert ist, dass die IP-Broadcast-Pakete nur auf der Ausgangsschnittstelle weitergeleitet werden.

Aktion

Um die Konfiguration anzuzeigen, führen Sie den show Befehl an wobei [edit interfaces interface-name unit interface-unit-number family inet] der Schnittstellenname ge-2/0/0, der Einheitenwert auf 0 und die Protokollfamilie auf inet festgelegt ist.

Um die Konfiguration anzuzeigen, führen Sie den show Befehl unter [edit interfaces irb unit interface-unit-number family inet]aus.

Konfigurieren von Targeted Broadcast (CLI-Verfahren)

Bevor Sie mit der Konfiguration des gezielten Broadcasts beginnen:

  • Stellen Sie sicher, dass das Subnetz, in dem Broadcast-Pakete mithilfe von IP-Direktübertragung erstellt werden sollen, nicht direkt mit dem Internet verbunden ist.

  • Konfigurieren Sie eine geroutete VLAN-Schnittstelle (RVI) für das Subnetz, das für die IP-Direktübertragung aktiviert wird. Weitere Informationen hierzu finden Sie unter Konfigurieren von gerouteten VLAN-Schnittstellen auf Switches (CLI-Verfahren).

Es wird empfohlen, die gezielte Übertragung in Subnetzen mit direkter Verbindung zum Internet nicht zu aktivieren, da dies dort einer erhöhten Anfälligkeit für DoS-Angriffe ausgesetzt ist.

Für diesen Task wird Junos OS für Switches der EX-Serie verwendet, das den ELS-Konfigurationsstil nicht unterstützt. ELS-Details finden Sie unter Verwenden der erweiterten Layer 2-Software-CLI.

Sie können gezielten Broadcast auf einem Switches der EX-Serie verwenden, um das Remote-Netzwerkmanagement zu erleichtern, indem Sie Broadcast-Pakete an Hosts in einem bestimmten Subnetz senden, ohne an das gesamte Netzwerk zu senden. Gezielte Broadcastpakete werden nur im Zielsubnetz übertragen. Der Rest des Netzwerks behandelt gezielte Broadcast-Pakete als Unicast-Pakete und leitet die Pakete entsprechend weiter.

So aktivieren Sie die gezielte Übertragung für ein bestimmtes Subnetz:

  1. Fügen Sie die logischen Schnittstellen des Zielsubnetzes zum VLAN hinzu:
  2. Konfigurieren Sie die L3-Schnittstelle auf dem VLAN, das das Ziel der angestrebten Broadcast-Pakete ist:
  3. Verknüpfen Sie eine L3-Schnittstelle mit dem VLAN:
  4. Aktivieren Sie die L3-Schnittstelle für das VLAN, um gezielte Broadcasts zu empfangen:

Beispiel: Konfigurieren von gezielter Übertragung auf einem Switch

Gezielte Übertragung bietet eine Methode, um Broadcast-Pakete an Hosts in einem bestimmten Subnetz zu senden, ohne diese Pakete an Hosts im gesamten Netzwerk zu senden.

In diesem Beispiel wird gezeigt, wie Sie ein Subnetz für den Empfang gezielter Broadcastpakete aktivieren, damit Sie Sicherungen und andere Netzwerkverwaltungsaufgaben remote ausführen können:

Anforderungen

In diesem Beispiel werden die folgenden Software- und Hardwarekomponenten verwendet:

  • Junos OS Version 9.4 oder höher für EX-Serie-Switches oder Junos OS Version 15.1X53-D10 für QFX10000-Switches.

  • Ein PC

  • One EX-Serie Switch oder QFX10000 Switch

Bevor Sie die gezielte Übertragung für ein Subnetz konfigurieren:

Übersicht und Topologie

Möglicherweise möchten Sie Remoteverwaltungsaufgaben wie Sicherungen und WOL-Anwendungsaufgaben ausführen, um Gruppen von Clients in einem Subnetz zu verwalten. Eine Möglichkeit, die Verwaltungsaufgaben auszuführen, besteht darin, gezielte Broadcastpakete zu senden, die an die Hosts in einem bestimmten Zielsubnetz gerichtet sind.

Das Netzwerk leitet die anvisierten Broadcast-Pakete weiter, als ob es sich um Unicast-Pakete handeln würde. Wenn das angestrebte Broadcast-Paket von einem VLAN empfangen wird, das für targeted-broadcastaktiviert ist, sendet der Switch das Paket an alle Hosts in seinem Subnetz.

Bei dieser Topologie (siehe Abbildung 1) ist ein Host mit einer Schnittstelle auf einem Switch verbunden, um die Clients im Subnetz 10.1.2.1/24zu verwalten. Wenn der Switch ein Paket mit der Broadcast-IP-Adresse des Zielsubnetzes als Zieladresse empfängt, leitet er das Paket an die Layer-3-Schnittstelle des Subnetzes weiter und sendet es an alle Hosts innerhalb des Subnetzes.

Abbildung 1: Topologie für Targeted Broadcast Network diagram showing a Management PC connected to an EX Series Switch via interface ge-0/0/3.0. The Ingress VLAN has IP 10.1.1.1/24. The Egress VLAN, with IP 10.1.2.1/24, connects via interfaces ge-0/0/0.0 and ge-0/0/1.0.

Topologie

Tabelle 1 zeigt die Einstellungen der Komponenten in diesem Beispiel.

Tabelle 1: Komponenten der Target-Broadcast-Topologie
Eigenschaftseinstellungen

Name des Eingangs-VLAN

v0

IP-Adresse des Eingangs-VLAN

10.1.1.1/24

Name des Ausgangs-VLAN

v1

Ausgangs-VLAN-IP-Adresse

10.1.2.1/24

Schnittstellen im VLAN v0

ge-0/0/3.0

Schnittstellen im VLAN v1

ge-0/0/0.0 und ge-0/0/1.0

Überprüfen des Status der gezielten Übertragung

Zweck

Vergewissern Sie sich, dass die zielgerichtete Übertragung aktiviert ist und im Subnetz funktioniert.

Aktion

Verwenden Sie den show vlans extensive Befehl, um zu überprüfen, ob die gezielte Übertragung aktiviert ist und im Subnetz funktioniert.

Siehe auch

Überprüfen des Status der gezielten Übertragung

Zweck

Vergewissern Sie sich, dass die zielgerichtete Übertragung aktiviert ist und im Subnetz funktioniert.

Aktion

Verwenden Sie den show vlans extensive Befehl, um zu überprüfen, ob die gezielte Übertragung aktiviert ist und im Subnetz funktioniert.