Gezielte Übertragung
Gezielte Übertragung hilft bei Remote-Verwaltungsaufgaben wie Backups und Wake-on-LAN (WOL) auf einer LAN-Schnittstelle und unterstützt virtuelle Routing- und Weiterleitungsinstanzen (VRF). Im folgenden Thema werden der Prozess und die Funktionsweise von Targeted Broadcast, seine Konfigurationsdetails und der Status der Übertragung auf verschiedenen Plattformen erläutert.
Überblick
Gezielter Broadcast ist ein Prozess, bei dem ein Zielsubnetz mit L3-Broadcast-IP-Paketen überflutet wird, die aus einem anderen Subnetz stammen. Der Zweck von Targeted Broadcast besteht darin, das Zielsubnetz mit den Broadcast-Paketen auf einer LAN-Schnittstelle zu überfluten, ohne an das gesamte Netzwerk zu senden.
IP-gerichtete Übertragung ist eine Technik, bei der ein Broadcast-Paket an ein bestimmtes Remote-Subnetz gesendet und dann innerhalb dieses Subnetzes gesendet wird. Sie können IP-gerichtete Broadcasts verwenden, um die Remote-Netzwerkverwaltung zu erleichtern, indem Sie Broadcast-Pakete an Hosts in einem bestimmten Subnetz senden, ohne an das gesamte Netzwerk zu senden. IP-gerichtete Broadcastpakete werden nur im Zielsubnetz übertragen. Der Rest des Netzwerks behandelt IP-gerichtete Broadcast-Pakete als Unicast-Pakete und leitet sie entsprechend weiter.
Targeted Broadcast wird mit verschiedenen Optionen auf der Ausgangsschnittstelle des Routers oder Switches konfiguriert, und die IP-Pakete werden nur über die LAN-Schnittstelle (Ausgang) übertragen. Targeted Broadcast unterstützt Sie bei der Implementierung von Remote-Verwaltungsaufgaben wie Sicherungen und Wake-on-LAN (WOL) auf einer LAN-Schnittstelle und unterstützt VRF-Instanzen.
Reguläre L3-Broadcast-IP-Pakete, die aus einem Subnetz stammen, werden innerhalb desselben Subnetzes übertragen. Wenn diese IP-Pakete ein anderes Subnetz erreichen, werden die Pakete an die Routing-Engine weitergeleitet (um an andere Anwendungen weitergeleitet zu werden). Daher können Remoteverwaltungsaufgaben wie Sicherungen in einem bestimmten Subnetz nicht über ein anderes Subnetz ausgeführt werden. Um dieses Problem zu umgehen, können Sie Targeted Broadcast aktivieren, um Broadcastpakete weiterzuleiten, die aus einem anderen Subnetz stammen.
L3-Broadcast-IP-Pakete haben eine Ziel-IP-Adresse, die eine gültige Broadcast-Adresse für das Zielsubnetz ist. Diese IP-Pakete durchlaufen das Netzwerk auf die gleiche Weise wie Unicast-IP-Pakete, bis die Pakete das Zielsubnetz wie folgt erreichen:
- Wenn der empfangende Router im Zielsubnetz Targeted Broadcast auf der Ausgangsschnittstelle aktiviert hat, werden die IP-Pakete nur an eine Ausgangsschnittstelle und die Routing-Engine oder nur an eine Ausgangsschnittstelle weitergeleitet.
- Die IP-Pakete werden dann in Broadcast-IP-Pakete übersetzt, die das Zielsubnetz nur über die LAN-Schnittstelle fluten, und alle Hosts im Zielsubnetz empfangen die IP-Pakete. Die Pakete werden verworfen, wenn keine LAN-Schnittstelle vorhanden ist.
- Der letzte Schritt in der Sequenz hängt von der gezielten Übertragung ab:
- Wenn die gezielte Übertragung auf dem empfangenden Router nicht aktiviert ist, werden die IP-Pakete wie reguläre Layer-3-Broadcast-IP-Pakete behandelt und an die Routing-Engine weitergeleitet.
- Wenn die gezielte Übertragung ohne Optionen aktiviert ist, werden die IP-Pakete an die Routing-Engine weitergeleitet.
Sie können Targeted Broadcast so konfigurieren, dass die IP-Pakete nur an eine Ausgangsschnittstelle weitergeleitet werden. Die Weiterleitung ist hilfreich, wenn der Router mit zu verarbeitenden Paketen überflutet wird, oder sowohl zu einer Ausgangsschnittstelle als auch zur Routing-Engine.
Firewallfilter, die auf der Routing-Engine lo0 konfiguriert sind, können nicht auf IP-Pakete angewendet werden, die als Ergebnis eines gezielten Broadcasts an die Routing-Engine weitergeleitet werden. Der Grund dafür ist, dass Broadcast-Pakete als Flood-Next-Hop-Datenverkehr und nicht als lokaler Next-Hop-Datenverkehr weitergeleitet werden. Sie können einen Firewallfilter nur auf lokale Next-Hop-Routen für Datenverkehr anwenden, der an die Routing-Engine gerichtet ist.
- Targeted Broadcast – Überblick
- Gezielte Broadcast-Implementierung
- Wann sollte die gezielte Übertragung aktiviert werden?
- Wann die gezielte Übertragung nicht aktiviert werden sollte
Targeted Broadcast – Überblick
Ziel-Broadcast-Pakete haben eine Ziel-IP-Adresse, die eine gültige Broadcast-Adresse für das Subnetz ist, das das Ziel des gerichteten Broadcasts ist (das Zielsubnetz). Die Absicht eines gezielten Broadcasts besteht darin, das Zielsubnetz mit den Broadcast-Paketen zu überfluten, ohne an das gesamte Netzwerk zu senden. Gezielte Broadcastpakete können nicht aus dem Zielsubnetz stammen.
Wenn Sie ein gezieltes Broadcastpaket auf dem Weg zum Zielsubnetz senden, leitet das Netzwerk es auf die gleiche Weise weiter wie ein Unicastpaket. Wenn das Paket einen Switch erreicht, der direkt mit dem Ziel-Subnetz verbunden ist, prüft der Switch, ob Targeted Broadcast auf der Schnittstelle, die direkt mit dem Ziel-Subnetz verbunden ist, aktiviert ist:
-
Wenn Targeted Broadcast auf dieser Schnittstelle aktiviert ist, sendet der Switch das Paket in diesem Subnetz, indem er die Ziel-IP-Adresse in die konfigurierte Broadcast-IP-Adresse für das Subnetz umschreibt. Der Switch wandelt das Paket in ein Link-Layer-Broadcast-Paket um, das von jedem Host im Netzwerk verarbeitet wird.
-
Wenn Targeted Broadcast auf der Schnittstelle, die direkt mit dem Ziel-Subnetz verbunden ist, deaktiviert ist, verwirft der Switch das Paket.
Gezielte Broadcast-Implementierung
Sie konfigurieren die gezielte Übertragung auf Subnetzbasis, indem Sie die gezielte Übertragung auf der L3-Schnittstelle des VLANs des Subnetzes aktivieren. Wenn der Switch, der mit diesem Subnetz verbunden ist, ein Paket empfängt, das die Broadcast-IP-Adresse des Subnetzes als Zieladresse hat, sendet der Switch das Paket an alle Hosts im Subnetz.
Standardmäßig ist die gezielte Übertragung deaktiviert.
Wann sollte die gezielte Übertragung aktiviert werden?
Gezielte Übertragung ist standardmäßig deaktiviert. Aktivieren Sie die gezielte Übertragung, wenn Sie Remote-Management- oder Verwaltungsservices wie Sicherungen oder WOL-Aufgaben auf Hosts in einem Subnetz ausführen möchten, das keine direkte Verbindung zum Internet hat.
Die Aktivierung der gezielten Übertragung in einem Subnetz wirkt sich nur auf die Hosts innerhalb dieses Subnetzes aus. Nur Pakete, die über die L3-Schnittstelle des Subnetzes empfangen werden und die Broadcast-IP-Adresse des Subnetzes als Zieladresse haben, werden im Subnetz überflutet.
Wann die gezielte Übertragung nicht aktiviert werden sollte
In der Regel aktivieren Sie keine gezielte Übertragung in Subnetzen, die über direkte Verbindungen mit dem Internet verfügen. Das Deaktivieren der gezielten Übertragung auf der L3-Schnittstelle eines Subnetzes wirkt sich nur auf dieses Subnetz aus. Wenn Sie die gezielte Übertragung in einem Subnetz deaktivieren und ein Paket mit der Broadcast-IP-Adresse dieses Subnetzes beim Switch eintrifft, verwirft der Switch das Broadcast-Paket.
Wenn ein Subnetz über eine direkte Verbindung zum Internet verfügt, erhöht die Aktivierung gezielter Übertragung die Anfälligkeit des Netzwerks für DoS-Angriffe.
Ein böswilliger Angreifer kann eine Quell-IP-Adresse fälschen, um ein Netzwerk dazu zu verleiten, den Angreifer als legitim zu identifizieren. Der Angreifer kann dann gezielte Broadcasts mit ICMP-Echo-Paketen (Ping) senden. Wenn die Hosts im Netzwerk mit aktivierter gezielter Übertragung die ICMP-Echopakete empfangen, senden die Hosts Antworten an das Opfer mit der gefälschten Quell-IP-Adresse. Die Antworten erzeugen bei einem DoS-Angriff eine Flut von Ping-Antworten, die die gefälschte Quelladresse überwältigen können, die als Smurf-Angriff bekannt ist. Ein weiterer häufiger DoS-Angriff auf gefährdete Netzwerke mit aktivierter gezielter Übertragung ist ein Fraggle-Angriff . Der Angriff ähnelt einem Smurf-Angriff, mit dem Unterschied, dass es sich bei dem bösartigen Paket um ein UDP-Echopaket und nicht um ein ICMP-Echopaket handelt.
Genaues zu gezielten Übertragungen
Wenn Pakete das Ziel-Subnetz erreichen und Targeted Broadcast auf dem empfangenden Switch aktiviert ist, wandelt der Switch das Targeted Broadcast Paket in einen Broadcast um. Durch die Konvertierung wird das Paket im Zielsubnetz überflutet. Alle Hosts im Zielsubnetz empfangen das angestrebte Broadcastpaket.
In diesem Thema werden folgende Themen behandelt:
- Targeted Broadcast – Überblick
- Gezielte Broadcast-Implementierung
- Wann sollte die gezielte Übertragung aktiviert werden?
- Wann die gezielte Übertragung nicht aktiviert werden sollte
Targeted Broadcast – Überblick
Ziel-Broadcast-Pakete haben eine Ziel-IP-Adresse, die eine gültige Broadcast-Adresse für das Subnetz ist, das das Ziel des gerichteten Broadcasts ist (das Zielsubnetz). Die Absicht eines gezielten Broadcasts besteht darin, das Zielsubnetz mit den Broadcast-Paketen zu überfluten, ohne an das gesamte Netzwerk zu senden. Gezielte Broadcastpakete können nicht aus dem Zielsubnetz stammen.
Wenn Sie ein gezieltes Broadcastpaket auf dem Weg zum Zielsubnetz senden, leitet das Netzwerk es auf die gleiche Weise weiter wie ein Unicastpaket. Wenn das Paket einen Switch erreicht, der direkt mit dem Ziel-Subnetz verbunden ist, prüft der Switch, ob Targeted Broadcast auf der Schnittstelle, die direkt mit dem Ziel-Subnetz verbunden ist, aktiviert ist:
Wenn Targeted Broadcast auf dieser Schnittstelle aktiviert ist, sendet der Switch das Paket in diesem Subnetz, indem er die Ziel-IP-Adresse in die konfigurierte Broadcast-IP-Adresse für das Subnetz umschreibt. Der Switch wandelt das Paket in ein Link-Layer-Broadcast-Paket um, das von jedem Host im Netzwerk verarbeitet wird.
Wenn Targeted Broadcast auf der Schnittstelle, die direkt mit dem Ziel-Subnetz verbunden ist, deaktiviert ist, verwirft der Switch das Paket.
Gezielte Broadcast-Implementierung
Sie konfigurieren die gezielte Übertragung auf Subnetzbasis, indem Sie die gezielte Übertragung auf der L3-Schnittstelle des VLANs des Subnetzes aktivieren. Wenn der Switch, der mit diesem Subnetz verbunden ist, ein Paket empfängt, das die Broadcast-IP-Adresse des Subnetzes als Zieladresse hat, sendet der Switch das Paket an alle Hosts im Subnetz.
Standardmäßig ist die gezielte Übertragung deaktiviert.
Wann sollte die gezielte Übertragung aktiviert werden?
Gezielte Übertragung ist standardmäßig deaktiviert. Aktivieren Sie die gezielte Übertragung, wenn Sie Remote-Management- oder Verwaltungsservices wie Sicherungen oder WOL-Aufgaben auf Hosts in einem Subnetz ausführen möchten, das keine direkte Verbindung zum Internet hat.
Die Aktivierung der gezielten Übertragung in einem Subnetz wirkt sich nur auf die Hosts innerhalb dieses Subnetzes aus. Nur Pakete, die über die L3-Schnittstelle des Subnetzes empfangen werden und die Broadcast-IP-Adresse des Subnetzes als Zieladresse haben, werden im Subnetz überflutet.
Wann die gezielte Übertragung nicht aktiviert werden sollte
In der Regel aktivieren Sie keine gezielte Übertragung in Subnetzen, die über direkte Verbindungen mit dem Internet verfügen. Das Deaktivieren der gezielten Übertragung auf der L3-Schnittstelle eines Subnetzes wirkt sich nur auf dieses Subnetz aus. Wenn Sie die gezielte Übertragung in einem Subnetz deaktivieren und ein Paket mit der Broadcast-IP-Adresse dieses Subnetzes beim Switch eintrifft, verwirft der Switch das Broadcast-Paket.
Wenn ein Subnetz über eine direkte Verbindung zum Internet verfügt, erhöht die Aktivierung gezielter Übertragung die Anfälligkeit des Netzwerks für DoS-Angriffe.
Ein böswilliger Angreifer kann eine Quell-IP-Adresse fälschen, um ein Netzwerk dazu zu verleiten, den Angreifer als legitim zu identifizieren. Der Angreifer kann dann gezielte Broadcasts mit ICMP-Echo-Paketen (Ping) senden. Wenn die Hosts im Netzwerk mit aktivierter gezielter Übertragung die ICMP-Echopakete empfangen, senden die Hosts Antworten an das Opfer mit der gefälschten Quell-IP-Adresse. Die Antworten erzeugen bei einem DoS-Angriff eine Flut von Ping-Antworten, die die gefälschte Quelladresse überwältigen können, die als Smurf-Angriff bekannt ist. Ein weiterer häufiger DoS-Angriff auf gefährdete Netzwerke mit aktivierter gezielter Übertragung ist ein Fraggle-Angriff . Der Angriff ähnelt einem Smurf-Angriff, mit dem Unterschied, dass es sich bei dem bösartigen Paket um ein UDP-Echopaket und nicht um ein ICMP-Echopaket handelt.
Gezielte Übertragung konfigurieren
Gezielte Übertragung konfigurieren
Sie können Targeted Broadcast auf einer Ausgangsschnittstelle mit verschiedenen Optionen konfigurieren.
Jede der folgenden Konfigurationen ist akzeptabel:
-
Sie können zulassen, dass die IP-Broadcast-Pakete, die für eine Layer-3-Adresse bestimmt sind, über die Ausgangsschnittstelle weitergeleitet werden und eine Kopie der IP-Broadcast-Pakete an die Routing-Engine senden.
-
Sie können zulassen, dass IP-Broadcast-Pakete nur über die Ausgangsschnittstelle weitergeleitet werden.
Beachten Sie, dass die Pakete nur dann übertragen werden, wenn es sich bei der Ausgangsschnittstelle um eine LAN-Schnittstelle handelt.
So konfigurieren Sie gezielte Übertragungen und ihre Optionen:
Konfigurationsoptionen für gezielte Broadcast-Sendungen anzeigen
In den folgenden Beispielthemen werden Konfigurationsoptionen für gezielte Übertragungen angezeigt:
- Weiterleiten von IP-Broadcast-Paketen an die Ausgangsschnittstelle und an die Routing-Engine
- Weiterleiten von IP-Broadcast-Paketen nur auf der Ausgangsschnittstelle
Weiterleiten von IP-Broadcast-Paketen an die Ausgangsschnittstelle und an die Routing-Engine
Zweck
Zeigen Sie die Konfiguration an, wenn Targeted Broadcast auf der Ausgangsschnittstelle konfiguriert ist, um die IP-Broadcast-Pakete auf der Ausgangsschnittstelle weiterzuleiten und eine Kopie derselben Pakete an die Routing-Engine zu senden.
Aktion
Um die Konfiguration anzuzeigen, führen Sie den show Befehl an wobei [edit interfaces interface-name unit interface-unit-number family inet] der Schnittstellenname ge-2/0/0, der Einheitenwert auf 0 und die Protokollfamilie auf inet festgelegt ist.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
Um die Konfiguration für irb anzuzeigen, führen Sie den show Befehl unter [edit interfaces irb unit interface-unit-number family inet].
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
Weiterleiten von IP-Broadcast-Paketen nur auf der Ausgangsschnittstelle
Zweck
Zeigen Sie die Konfiguration an, wenn der gezielte Broadcast auf der Ausgangsschnittstelle so konfiguriert ist, dass die IP-Broadcast-Pakete nur auf der Ausgangsschnittstelle weitergeleitet werden.
Aktion
Um die Konfiguration anzuzeigen, führen Sie den show Befehl an wobei [edit interfaces interface-name unit interface-unit-number family inet] der Schnittstellenname ge-2/0/0, der Einheitenwert auf 0 und die Protokollfamilie auf inet festgelegt ist.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
Um die Konfiguration anzuzeigen, führen Sie den show Befehl unter [edit interfaces irb unit interface-unit-number family inet]aus.
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}