Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
AUF DIESER SEITE
 

Gezielte Übertragung

Gezielte Übertragung hilft bei Remote-Verwaltungsaufgaben wie Backups und Wake-on-LAN (WOL) auf einer LAN-Schnittstelle und unterstützt virtuelle Routing- und Weiterleitungsinstanzen (VRF). Im folgenden Thema werden der Prozess und die Funktionsweise von Targeted Broadcast, seine Konfigurationsdetails und der Status der Übertragung auf verschiedenen Plattformen erläutert.

Verstehen von Targeted Broadcast

Gezielter Broadcast ist ein Prozess, bei dem ein Zielsubnetz mit Layer-3-Broadcast-IP-Paketen überflutet wird, die aus einem anderen Subnetz stammen. Der Zweck von Targeted Broadcast besteht darin, das Zielsubnetz mit den Broadcast-Paketen auf einer LAN-Schnittstelle zu überfluten, ohne an das gesamte Netzwerk zu senden. Targeted Broadcast wird mit verschiedenen Optionen auf der Ausgangsschnittstelle des Routers oder Switches konfiguriert, und die IP-Pakete werden nur über die LAN-Schnittstelle (Ausgang) übertragen. Targeted Broadcast unterstützt Sie bei der Implementierung von Remoteverwaltungsaufgaben wie Sicherungen und Wake-on-LAN (WOL) auf einer LAN-Schnittstelle und unterstützt virtuelle Routing- und Weiterleitungsinstanzen (VRF).

Reguläre Layer-3-Broadcast-IP-Pakete, die aus einem Subnetz stammen, werden innerhalb desselben Subnetzes übertragen. Wenn diese IP-Pakete ein anderes Subnetz erreichen, werden sie an die Routing-Engine weitergeleitet (um an andere Anwendungen weitergeleitet zu werden). Aus diesem Grund können Remoteverwaltungsaufgaben wie Sicherungen in einem bestimmten Subnetz nicht über ein anderes Subnetz ausgeführt werden. Um dieses Problem zu umgehen, können Sie Targeted Broadcast aktivieren, um Broadcastpakete weiterzuleiten, die aus einem anderen Subnetz stammen.

Layer 3-Broadcast-IP-Pakete haben eine Ziel-IP-Adresse, die eine gültige Broadcast-Adresse für das Zielsubnetz ist. Diese IP-Pakete durchqueren das Netzwerk auf die gleiche Weise wie Unicast-IP-Pakete, bis sie das Zielsubnetz wie folgt erreichen:

  1. Wenn der empfangende Router im Zielsubnetz Targeted Broadcast auf der Ausgangsschnittstelle aktiviert hat, werden die IP-Pakete nur an eine Ausgangsschnittstelle und die Routing-Engine oder nur an eine Ausgangsschnittstelle weitergeleitet.
  2. Die IP-Pakete werden dann in Broadcast-IP-Pakete übersetzt, die das Zielsubnetz nur über die LAN-Schnittstelle fluten, und alle Hosts im Zielsubnetz empfangen die IP-Pakete. Die Pakete werden verworfen, wenn keine LAN-Schnittstelle vorhanden ist.
  3. Der letzte Schritt in der Sequenz hängt von der gezielten Übertragung ab:
    • Wenn die gezielte Übertragung auf dem empfangenden Router nicht aktiviert ist, werden die IP-Pakete wie reguläre Layer-3-Broadcast-IP-Pakete behandelt und an die Routing-Engine weitergeleitet.
    • Wenn die gezielte Übertragung ohne Optionen aktiviert ist, werden die IP-Pakete an die Routing-Engine weitergeleitet.

Sie können Targeted Broadcast so konfigurieren, dass die IP-Pakete nur an eine Ausgangsschnittstelle weitergeleitet werden. Dies ist hilfreich, wenn der Router mit Paketen überflutet wird, die verarbeitet werden müssen, oder wenn sowohl eine Ausgangsschnittstelle als auch die Routing-Engine mit Paketen überflutet werden.

Anmerkung:

Firewallfilter, die auf der Loopback-Schnittstelle (lo0) der Routing-Engine konfiguriert sind, können nicht auf IP-Pakete angewendet werden, die als Ergebnis eines gezielten Broadcasts an die Routing-Engine weitergeleitet werden. Dies liegt daran, dass Broadcastpakete als Flood-Datenverkehr des nächsten Hops und nicht als lokaler Datenverkehr des nächsten Hops weitergeleitet werden und Sie einen Firewallfilter nur auf lokale Routen des nächsten Hops für Datenverkehr anwenden können, der an die Routing-Engine gerichtet ist.

Informationen zu IP-gerichtetem Broadcast

IP-gerichtete Übertragung unterstützt Sie bei der Implementierung von Remoteverwaltungsaufgaben wie Sicherungen und Wake-on-LAN (WOL)-Anwendungsaufgaben, indem Broadcast-Pakete gesendet werden, die an die Hosts in einem bestimmten Zielsubnetz gerichtet sind. IP-gerichtete Broadcast-Pakete durchqueren das Netzwerk auf die gleiche Weise wie Unicast-IP-Pakete, bis sie das Zielsubnetz erreichen. Wenn sie das Zielsubnetz erreichen und IP-gerichtete Übertragung auf dem empfangenden Switch aktiviert ist, übersetzt (explodiert) der Switch das IP-gerichtete Broadcast-Paket in einen Broadcast, der das Paket im Zielsubnetz flutet. Alle Hosts im Zielsubnetz empfangen das IP-gerichtete Broadcastpaket.

In diesem Thema werden folgende Themen behandelt:

Überblick über IP-gerichtete Übertragungen

IP-gerichtete Broadcastpakete haben eine Ziel-IP-Adresse, die eine gültige Broadcast-Adresse für das Subnetz ist, das das Ziel des gerichteten Broadcasts ist (das Zielsubnetz). Die Absicht eines IP-gerichteten Broadcasts besteht darin, das Zielsubnetz mit den Broadcast-Paketen zu überfluten, ohne an das gesamte Netzwerk zu senden. IP-gerichtete Broadcast-Pakete können nicht aus dem Zielsubnetz stammen.

Wenn Sie ein IP-gerichtetes Broadcastpaket senden, leitet das Netzwerk es auf dem Weg zum Zielsubnetz auf die gleiche Weise weiter wie ein Unicastpaket. Wenn das Paket einen Switch erreicht, der direkt mit dem Ziel-Subnetz verbunden ist, prüft der Switch, ob IP-gerichtete Übertragung auf der Schnittstelle, die direkt mit dem Ziel-Subnetz verbunden ist, aktiviert ist:

  • Wenn IP-gerichtete Übertragung auf dieser Schnittstelle aktiviert ist, sendet der Switch das Paket an diesem Subnetz, indem er die Ziel-IP-Adresse in die konfigurierte Broadcast-IP-Adresse für das Subnetz umschreibt. Der Switch wandelt das Paket in ein Link-Layer-Broadcast-Paket um, das von jedem Host im Netzwerk verarbeitet wird.

  • Wenn IP-gerichtete Übertragung auf der Schnittstelle, die direkt mit dem Ziel-Subnetz verbunden ist, deaktiviert ist, verwirft der Switch das Paket.

Implementierung von IP-gerichteten Übertragungen

Sie konfigurieren die IP-gerichtete Übertragung auf Subnetzbasis, indem Sie die IP-gerichtete Übertragung auf der Layer-3-Schnittstelle des VLANs des Subnetzes aktivieren. Wenn der Switch, der mit diesem Subnetz verbunden ist, ein Paket empfängt, das die Broadcast-IP-Adresse des Subnetzes als Zieladresse hat, sendet der Switch das Paket an alle Hosts im Subnetz.

Standardmäßig ist die IP-gerichtete Übertragung deaktiviert.

Wann sollte IP Directed Broadcast aktiviert werden?

IP-gerichtete Übertragung ist standardmäßig deaktiviert. Aktivieren Sie IP Directed Broadcast, wenn Sie Remote-Management- oder Verwaltungsservices wie Backups oder WOL-Tasks auf Hosts in einem Subnetz ausführen möchten, das keine direkte Verbindung zum Internet hat.

Die Aktivierung von IP-gerichtetem Broadcast in einem Subnetz wirkt sich nur auf die Hosts innerhalb dieses Subnetzes aus. Nur Pakete, die über die Layer 3-Schnittstelle des Subnetzes empfangen werden und die Broadcast-IP-Adresse des Subnetzes als Zieladresse haben, werden im Subnetz überflutet.

Wann sollte die IP-gerichtete Übertragung nicht aktiviert werden?

In der Regel aktivieren Sie die IP-gerichtete Übertragung nicht in Subnetzen, die über direkte Verbindungen mit dem Internet verfügen. Das Deaktivieren von IP-gesteuertem Broadcast auf der Layer-3-Schnittstelle eines Subnetzes wirkt sich nur auf dieses Subnetz aus. Wenn Sie IP-gerichtete Übertragung in einem Subnetz deaktivieren und ein Paket mit der Broadcast-IP-Adresse dieses Subnetzes beim Switch eintrifft, verwirft der Switch das Broadcast-Paket.

Wenn ein Subnetz über eine direkte Verbindung zum Internet verfügt, erhöht die Aktivierung von IP-gerichtetem Broadcast die Anfälligkeit des Netzwerks für Denial-of-Service-Angriffe (DoS).

Ein böswilliger Angreifer kann beispielsweise eine Quell-IP-Adresse fälschen (eine Quell-IP-Adresse verwenden, die nicht die tatsächliche Quelle der Übertragung ist, um ein Netzwerk dazu zu verleiten, den Angreifer als legitime Quelle zu identifizieren) und an IP gerichtete Broadcasts senden, die ICMP-Echo-Pakete (Ping-Pakete) enthalten. Wenn die Hosts im Netzwerk, auf denen IP Directed Broadcast aktiviert ist, die ICMP-Echopakete empfangen, senden sie alle Antworten an das Opfer mit der gefälschten Quell-IP-Adresse. Dies erzeugt eine Flut von Ping-Antworten in einem DoS-Angriff, die die gefälschte Quelladresse überwältigen kann. Dies wird als Smurf-Angriff bezeichnet. Ein weiterer häufiger DoS-Angriff auf exponierte Netzwerke mit aktivierter IP-gerichteter Übertragung ist ein Fraggle-Angriff , der einem Schlumpf-Angriff ähnelt, mit dem Unterschied, dass es sich bei dem bösartigen Paket um ein UDP-Echopaket (User Datagram Protocol) und nicht um ein ICMP-Echopaket handelt.

Gezielte Übertragung konfigurieren

In den folgenden Abschnitten wird erläutert, wie Sie die gezielte Übertragung auf einer Ausgangsschnittstelle und die zugehörigen Optionen konfigurieren:

Konfigurieren von gezielten Übertragungen und deren Optionen

Sie können Targeted Broadcast auf einer Ausgangsschnittstelle mit verschiedenen Optionen konfigurieren.

Jede der folgenden Konfigurationen ist akzeptabel:

  • Sie können zulassen, dass die IP-Pakete, die für eine Layer-3-Broadcast-Adresse bestimmt sind, an die Ausgangsschnittstelle weitergeleitet werden und eine Kopie der IP-Pakete an die Routing-Engine gesendet werden.

  • Sie können zulassen, dass IP-Pakete nur über die Ausgangsschnittstelle weitergeleitet werden.

Beachten Sie, dass die Pakete nur dann übertragen werden, wenn es sich bei der Ausgangsschnittstelle um eine LAN-Schnittstelle handelt.

So konfigurieren Sie gezielte Übertragungen und ihre Optionen:

  1. Konfigurieren Sie die physische Schnittstelle.
  2. Konfigurieren Sie die Nummer der logischen Einheit auf der [edit interfaces interface-name Hierarchieebene.
  3. Konfigurieren Sie die Protokollfamilie als inet auf Hierarchieebene [edit interfaces interface-name unit interface-unit-number .
  4. Konfigurieren Sie gezielte Übertragung auf Hierarchieebene [edit interfaces interface-name unit interface-unit-number family inet .
  5. Zulassen, dass IP-Pakete nur über die Ausgangsschnittstelle weitergeleitet werden.
Anmerkung:

SRX-Geräte unterstützen die Option forward-and-send-to-re"Targeted Broadcast" nicht.

Konfigurationsoptionen für gezielte Broadcast-Sendungen anzeigen

In den folgenden Beispielthemen werden Konfigurationsoptionen für gezielte Übertragungen angezeigt:

Beispiel: Weiterleiten von IP-Paketen auf der Ausgangsschnittstelle und an die Routing-Engine

Zweck

Zeigen Sie die Konfiguration an, wenn Targeted Broadcast auf der Ausgangsschnittstelle konfiguriert ist, um die IP-Pakete auf der Ausgangsschnittstelle weiterzuleiten und eine Kopie der IP-Pakete an die Routing-Engine zu senden.

Aktion

Um die Konfiguration anzuzeigen, führen Sie den show Befehl an wobei [edit interfaces interface-name unit interface-unit-number family inet] der Schnittstellenname ge-2/0/0, der Einheitenwert auf 0 und die Protokollfamilie auf inet festgelegt ist.

Beispiel: Weiterleiten von IP-Paketen nur auf der Ausgangsschnittstelle

Zweck

Zeigen Sie die Konfiguration an, wenn der gezielte Broadcast auf der Ausgangsschnittstelle konfiguriert ist, um die IP-Pakete nur auf der Ausgangsschnittstelle weiterzuleiten.

Aktion

Um die Konfiguration anzuzeigen, führen Sie den show Befehl an wobei [edit interfaces interface-name unit interface-unit-number family inet] der Schnittstellenname ge-2/0/0, der Einheitenwert auf 0 und die Protokollfamilie auf inet festgelegt ist.