Diffusion ciblée
La diffusion ciblée facilite les tâches d’administration à distance telles que les sauvegardes et le LAN wake-on (WOL) sur une interface LAN, et prend en charge les instances VRF (Virtual Routing and Forwarding). La rubrique ci-dessous traite du processus et du fonctionnement de la diffusion ciblée, de ses détails de configuration et de l’état de la diffusion sur diverses plateformes.
Comprendre la diffusion ciblée
La diffusion ciblée consiste à inonder un sous-réseau cible de paquets IP de diffusion de couche 3 provenant d’un autre sous-réseau. L’objectif de la diffusion ciblée est d’inonder le sous-réseau cible avec les paquets de diffusion sur une interface LAN sans diffuser sur l’ensemble du réseau. La diffusion ciblée est configurée avec diverses options sur l’interface de sortie du routeur ou du commutateur, et les paquets IP sont diffusés uniquement sur l’interface LAN (sortie). La diffusion ciblée vous permet d’implémenter des tâches d’administration à distance, telles que les sauvegardes et le LAN wake-on (WOL) sur une interface LAN, et prend en charge les instances VRF (Virtual Routing and Forwarding).
Les paquets IP de diffusion de couche 3 ordinaires provenant d’un sous-réseau sont diffusés au sein de ce même sous-réseau. Lorsque ces paquets IP atteignent un autre sous-réseau, ils sont transférés au moteur de routage (pour être transférés à d’autres applications). Pour cette raison, les tâches d’administration à distance, telles que les sauvegardes, ne peuvent pas être effectuées sur un sous-réseau particulier via un autre sous-réseau. Pour contourner ce problème, vous pouvez activer la diffusion ciblée pour transférer les paquets de diffusion provenant d’un sous-réseau différent.
Les paquets IP de diffusion de couche 3 ont une adresse IP de destination qui est une adresse de diffusion valide pour le sous-réseau cible. Ces paquets IP traversent le réseau de la même manière que les paquets IP unicast jusqu’à ce qu’ils atteignent le sous-réseau de destination, comme suit :
- Dans le sous-réseau de destination, si la diffusion ciblée est activée sur l’interface de sortie du routeur récepteur, les paquets IP sont transférés vers une interface de sortie et le moteur de routage ou vers une interface de sortie uniquement.
- Les paquets IP sont ensuite convertis en paquets IP de diffusion, qui inondent le sous-réseau cible uniquement via l’interface LAN, et tous les hôtes du sous-réseau cible reçoivent les paquets IP. Les paquets sont rejetés s’il n’existe pas d’interface LAN.
- La dernière étape de la séquence dépend de la diffusion ciblée :
- Si la diffusion ciblée n’est pas activée sur le routeur de réception, les paquets IP sont traités comme des paquets IP de diffusion de couche 3 normaux et sont transférés au moteur de routage.
- Si la diffusion ciblée est activée sans aucune option, les paquets IP sont transférés au moteur de routage.
Vous pouvez configurer la diffusion ciblée pour transférer les paquets IP uniquement vers une interface de sortie. Cela est utile lorsque le routeur est inondé de paquets à traiter, ou à la fois vers une interface de sortie et le moteur de routage.
Tout filtre de pare-feu configuré sur l’interface de bouclage du moteur de routage (lo0) ne peut pas être appliqué aux paquets IP qui sont transférés au moteur de routage à la suite d’une diffusion ciblée. En effet, les paquets de diffusion sont transférés en tant que trafic next-hop flood et non en tant que trafic next-hop local, et que vous pouvez appliquer un filtre de pare-feu uniquement aux routes next-hop locales pour le trafic dirigé vers le moteur de routage.
Comprendre la diffusion dirigée sur IP
La diffusion dirigée IP vous aide à implémenter des tâches d’administration à distance, telles que les sauvegardes et les tâches d’application WOL (wake-on-LAN), en envoyant des paquets de diffusion ciblés sur les hôtes d’un sous-réseau de destination spécifié. Les paquets de diffusion dirigée IP traversent le réseau de la même manière que les paquets IP unicast jusqu’à ce qu’ils atteignent le sous-réseau de destination. Lorsqu’ils atteignent le sous-réseau de destination et que la diffusion dirigée IP est activée sur le commutateur de réception, le commutateur convertit (éclate) le paquet de diffusion dirigée IP en une diffusion qui inonde le paquet sur le sous-réseau cible. Tous les hôtes du sous-réseau cible reçoivent le paquet de diffusion dirigée IP.
Cette rubrique aborde les sujets suivants :
- Présentation de la diffusion dirigée IP
- Mise en œuvre de la diffusion dirigée IP
- Quand activer la diffusion dirigée IP ?
- Quand ne pas activer la diffusion dirigée IP
Présentation de la diffusion dirigée IP
Les paquets de diffusion dirigée IP ont une adresse IP de destination qui est une adresse de diffusion valide pour le sous-réseau cible de la diffusion dirigée (le sous-réseau cible). L’objectif d’une diffusion dirigée IP est d’inonder le sous-réseau cible avec les paquets de diffusion sans les diffuser sur l’ensemble du réseau. Les paquets de diffusion IP ne peuvent pas provenir du sous-réseau cible.
Lorsque vous envoyez un paquet de diffusion dirigée IP, le réseau le transfère de la même manière qu’un paquet unicast lorsqu’il se déplace vers le sous-réseau cible. Lorsque le paquet atteint un commutateur directement connecté au sous-réseau cible, le commutateur vérifie si la diffusion dirigée IP est activée sur l’interface directement connectée au sous-réseau cible :
Si la diffusion dirigée IP est activée sur cette interface, le commutateur diffuse le paquet sur ce sous-réseau en réécrivant l’adresse IP de destination en tant qu’adresse IP de diffusion configurée pour le sous-réseau. Le commutateur convertit le paquet en un paquet de diffusion de couche liaison que chaque hôte du réseau traite.
Si la diffusion dirigée IP est désactivée sur l’interface directement connectée au sous-réseau cible, le commutateur abandonne le paquet.
Mise en œuvre de la diffusion dirigée IP
Vous configurez la diffusion dirigée IP par sous-réseau en activant la diffusion dirigée IP sur l’interface de couche 3 du VLAN du sous-réseau. Lorsque le commutateur connecté à ce sous-réseau reçoit un paquet dont l’adresse de destination est l’adresse IP de diffusion du sous-réseau, il diffuse le paquet à tous les hôtes du sous-réseau.
Par défaut, la diffusion dirigée par IP est désactivée.
Quand activer la diffusion dirigée IP ?
La diffusion dirigée IP est désactivée par défaut. Activez la diffusion dirigée IP lorsque vous souhaitez exécuter des services de gestion ou d’administration à distance, tels que des sauvegardes ou des tâches WOL, sur des hôtes d’un sous-réseau qui ne dispose pas d’une connexion directe à Internet.
L’activation de la diffusion dirigée IP sur un sous-réseau n’affecte que les hôtes de ce sous-réseau. Seuls les paquets reçus sur l’interface de couche 3 du sous-réseau dont l’adresse IP de diffusion est l’adresse de destination du sous-réseau sont inondés sur le sous-réseau.
Quand ne pas activer la diffusion dirigée IP
En règle générale, vous n’activez pas la diffusion dirigée IP sur les sous-réseaux qui ont des connexions directes à Internet. La désactivation de la diffusion dirigée IP sur l’interface de couche 3 d’un sous-réseau n’affecte que ce sous-réseau. Si vous désactivez la diffusion dirigée IP sur un sous-réseau et qu’un paquet contenant l’adresse IP de diffusion de ce sous-réseau arrive au commutateur, le commutateur abandonne le paquet de diffusion.
Si un sous-réseau dispose d’une connexion directe à Internet, l’activation de la diffusion dirigée IP sur celui-ci augmente la vulnérabilité du réseau aux attaques par déni de service (DoS).
Par exemple, un attaquant malveillant peut usurper une adresse IP source (utiliser une adresse IP source qui n’est pas la source réelle de la transmission pour inciter un réseau à identifier l’attaquant comme étant une source légitime) et envoyer des diffusions IP contenant des paquets d’écho (ping) ICMP (Internet Control Message Protocol). Lorsque les hôtes sur le réseau pour lesquels la diffusion dirigée IP est activée reçoivent les paquets d’écho ICMP, ils envoient tous des réponses à la victime dont l’adresse IP source a été usurpée. Cela crée un flot de réponses ping lors d’une attaque DoS qui peut submerger l’adresse source usurpée ; C’est ce qu’on appelle une attaque de Schtroumpfs . Une autre attaque DoS courante sur les réseaux exposés pour lesquels la diffusion dirigée IP est activée est une attaque fragggle , qui est similaire à une attaque schtroumpf, sauf que le paquet malveillant est un paquet d’écho UDP (User Datagram Protocol) au lieu d’un paquet d’écho ICMP.
Configurer la diffusion ciblée
Les sections suivantes expliquent comment configurer la diffusion ciblée sur une interface de sortie et ses options :
- Configurer la diffusion ciblée et ses options
- Afficher les options de configuration de la diffusion ciblée
Configurer la diffusion ciblée et ses options
Vous pouvez configurer la diffusion ciblée sur une interface de sortie avec différentes options.
L’une ou l’autre de ces configurations est acceptable :
-
Vous pouvez autoriser le transfert des paquets IP destinés à une adresse de diffusion de couche 3 sur l’interface de sortie et envoyer une copie des paquets IP au moteur de routage.
-
Vous pouvez autoriser le transfert des paquets IP uniquement sur l’interface de sortie.
Notez que les paquets ne sont diffusés que si l’interface de sortie est une interface LAN.
Pour configurer la diffusion ciblée et ses options :
Les périphériques SRX ne prennent pas en charge l’option forward-and-send-to-rede diffusion ciblée.
Afficher les options de configuration de la diffusion ciblée
Les exemples de rubriques suivants affichent des options de configuration de diffusion ciblées :
- Exemple : transfert de paquets IP sur l’interface de sortie et vers le moteur de routage
- Exemple : transfert de paquets IP sur l’interface de sortie uniquement
Exemple : transfert de paquets IP sur l’interface de sortie et vers le moteur de routage
But
Affichez la configuration lorsque la diffusion ciblée est configurée sur l’interface de sortie pour transférer les paquets IP sur l’interface de sortie et pour envoyer une copie des paquets IP au moteur de routage.
Action
Pour afficher la configuration, exécutez la show commande à l’adresse où [edit interfaces interface-name unit interface-unit-number family inet] le nom de l’interface est ge-2/0/0, la valeur de l’unité est définie sur 0 et la famille de protocoles est définie sur inet.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
Exemple : transfert de paquets IP sur l’interface de sortie uniquement
But
Affichez la configuration lorsque la diffusion ciblée est configurée sur l’interface de sortie pour transférer les paquets IP sur l’interface de sortie uniquement.
Action
Pour afficher la configuration, exécutez la show commande à l’adresse où [edit interfaces interface-name unit interface-unit-number family inet] le nom de l’interface est ge-2/0/0, la valeur de l’unité est définie sur 0 et la famille de protocoles est définie sur inet.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
Configuration de la diffusion dirigée IP (procédure CLI)
Avant de commencer à configurer la diffusion dirigée IP :
Assurez-vous que le sous-réseau sur lequel vous souhaitez diffuser les paquets à l’aide de la diffusion directe IP n’est pas directement connecté à Internet.
Configurez une interface VLAN routée (RVI) pour le sous-réseau qui sera activée pour la diffusion directe IP. Reportez-vous à la section Configuration des interfaces VLAN routées sur les commutateurs (procédure CLI).
Nous vous recommandons de ne pas activer la diffusion dirigée IP sur les sous-réseaux qui disposent d’une connexion directe à Internet en raison d’une exposition accrue aux attaques par déni de service (DoS).
Cette tâche utilise Junos OS pour les commutateurs EX Series qui ne prend pas en charge le style de configuration ELS (Enhanced L2 Software). Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.
Vous pouvez utiliser la diffusion dirigée IP sur un commutateur EX Series pour faciliter la gestion du réseau à distance en envoyant des paquets de diffusion aux hôtes d’un sous-réseau spécifié sans diffusion sur l’ensemble du réseau. Les paquets de diffusion dirigée IP sont diffusés uniquement sur le sous-réseau cible. Le reste du réseau traite les paquets de diffusion dirigée IP comme des paquets unicast et les transmet en conséquence.
Pour activer la diffusion dirigée IP pour un sous-réseau spécifié :
Voir aussi
Exemple : Configuration de la diffusion IP dirigée sur un commutateur
La diffusion dirigée par IP permet d’envoyer des paquets de diffusion aux hôtes d’un sous-réseau spécifié sans les diffuser aux hôtes de l’ensemble du réseau.
Cet exemple montre comment permettre à un sous-réseau de recevoir des paquets de diffusion IP afin de pouvoir effectuer des sauvegardes et d’autres tâches de gestion du réseau à distance :
- Exigences
- Vue d’ensemble et topologie
- Configuration de la diffusion IP dirigée pour les commutateurs non-ELS
- Configuration de la diffusion IP dirigée pour les commutateurs avec prise en charge d’ELS
Exigences
Cet exemple utilise les composants logiciels et matériels suivants :
Junos OS version 9.4 ou ultérieure pour les commutateurs EX Series ou Junos OS version 15.1X53-D10 pour les commutateurs QFX10000.
Un PC
Un commutateur EX Series ou un commutateur QFX10000
Avant de configurer la diffusion dirigée IP pour un sous-réseau :
Assurez-vous que le sous-réseau ne dispose pas d’une connexion directe à Internet.
Configurez les interfaces VLAN routées (RVI) pour les VLAN entrants et sortants sur le commutateur. Pour les commutateurs non-ELS, reportez-vous à Configuration des interfaces VLAN routées sur les commutateurs (procédure CLI) ou Configuration des VLAN pour les commutateurs EX Series (procédure J-Web). Pour ELS, voir l3-interface.
Vue d’ensemble et topologie
Vous souhaiterez peut-être effectuer des tâches d’administration à distance, telles que des sauvegardes et des tâches d’application WOL (wake-on-LAN) pour gérer des groupes de clients sur un sous-réseau. Pour ce faire, il suffit d’envoyer des paquets de diffusion IP dirigés vers les hôtes d’un sous-réseau cible particulier.
Le réseau transfère les paquets de diffusion IP dirigée comme s’il s’agissait de paquets unicast. Lorsque le paquet de diffusion dirigé IP est reçu par un VLAN activé pour targeted-broadcast, le commutateur diffuse le paquet à tous les hôtes de son sous-réseau.
Dans cette topologie (voir Figure 1), un hôte est connecté à une interface sur un commutateur pour gérer les clients dans le sous-réseau 10.1.2.1/24. Lorsque le commutateur reçoit un paquet avec l’adresse IP de diffusion du sous-réseau cible comme adresse de destination, il transmet le paquet à l’interface de couche 3 du sous-réseau et le diffuse à tous les hôtes du sous-réseau.
dirigée IP
Topologie
Le tableau 1 présente les paramètres des composants de cet exemple.
| Paramètres de | la propriété |
|---|---|
Nom du VLAN entrant |
|
Adresse IP du VLAN entrant |
|
Nom du VLAN sortant |
|
Adresse IP du VLAN sortant |
|
Interfaces dans le VLAN |
|
Interfaces dans le VLAN |
|
Configuration de la diffusion IP dirigée pour les commutateurs non-ELS
Pour configurer la diffusion dirigée IP sur un sous-réseau afin de permettre la gestion à distance de ses hôtes :
Procédure
Configuration rapide de la CLI
Pour configurer rapidement le commutateur afin qu’il accepte les diffusions dirigées IP ciblant le sous-réseau 10.1.2.1/24, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :
[edit]
set interfaces ge-0/0/0.0 family ethernet-switching vlan members v1
set interfaces ge-0/0/1.0 family ethernet-switching vlan members v1
set interfaces vlan.1 family inet address 10.1.2.1/24
set interfaces ge-0/0/3.0 family ethernet-switching vlan members v0
set interfaces vlan.0 family inet address 10.1.1.1/24
set vlans v1 l3-interface vlan.1
set vlans v0 l3-interface vlan.0
set interfaces vlan.1 family inet targeted-broadcast
Procédure étape par étape
Pour configurer le commutateur afin qu’il accepte les diffusions dirigées IP ciblant le sous-réseau 10.1.2.1/24:
Ajouter une interface
ge-0/0/0.0logique au VLANv1:[edit interfaces] user@switch# set ge-0/0/0.0 family ethernet-switching vlan members v1
Ajouter une interface
ge-0/0/1.0logique au VLANv1:[edit interfaces] user@switch# set ge-0/0/1.0 family ethernet-switching vlan members v1
Configurez l’adresse IP du VLAN
v1sortant :[edit interfaces] user@switch# set vlan.1 family inet address 10.1.2.1/24
Ajouter une interface
ge-0/0/3.0logique au VLANv0:[edit interfaces] user@switch# set ge-0/0/3.0 family ethernet-switching vlan members v0
Configurez l’adresse IP du VLAN entrant :
[edit interfaces] user@switch# set vlan.0 family inet address 10.1.1.1/24
Pour acheminer le trafic entre les VLAN entrants et sortants, associez une interface de couche 3 à chaque VLAN :
[edit vlans] user@switch# set v1 l3-interface vlan.1 user@switch# set v0 l3–interface vlan.0
Activez l’interface de couche 3 pour que le VLAN sortant reçoive les diffusions dirigées par IP :
[edit interfaces] user@switch# set vlan.1 family inet targeted-broadcast user@switch# set vlan.0 family inet targeted-broadcast
Résultats
Vérifiez les résultats :
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members v0;
}
}
}
}
vlan {
unit 0 {
family inet {
targeted-broadcast;
address 10.1.1.1/24;
}
}
unit 1 {
family inet {
targeted-broadcast;
address 10.1.2.1/24;
}
}
}
vlans {
default;
v0 {
l3-interface vlan.0;
}
v1 {
l3-interface vlan.1;
}
}
Configuration de la diffusion IP dirigée pour les commutateurs avec prise en charge d’ELS
Pour configurer la diffusion dirigée IP sur un sous-réseau afin de permettre la gestion à distance de ses hôtes :
Procédure
Configuration rapide de la CLI
Pour configurer rapidement le commutateur afin qu’il accepte les diffusions dirigées IP ciblant le sous-réseau 10.1.2.1/24, copiez les commandes suivantes et collez-les dans la fenêtre de terminal du commutateur :
[edit]
set interfaces ge-0/0/0.0 family ethernet-switching vlan members v1
set interfaces ge-0/0/1.0 family ethernet-switching vlan members v1
set interfaces irb.1 family inet address 10.1.2.1/24
set interfaces ge-0/0/3.0 family ethernet-switching vlan members v0
set interfaces irb.0 family inet address 10.1.1.1/24
set vlans v1 l3-interface irb.1
set vlans v0 l3-interface irb.0
set interfaces irb.1 family inet targeted-broadcast
Procédure étape par étape
Pour configurer le commutateur afin qu’il accepte les diffusions dirigées IP ciblant le sous-réseau 10.1.2.1/24:
Ajouter une interface
ge-0/0/0.0logique au VLANv1:[edit interfaces] user@switch# set ge-0/0/0.0 family ethernet-switching vlan members v1
Ajouter une interface
ge-0/0/1.0logique au VLANv1:[edit interfaces] user@switch# set ge-0/0/1.0 family ethernet-switching vlan members v1
Configurez l’adresse IP du VLAN
v1sortant :[edit interfaces] user@switch# set irb.1 family inet address 10.1.2.1/24
Ajouter une interface
ge-0/0/3.0logique au VLANv0:[edit interfaces] user@switch# set ge-0/0/3.0 family ethernet-switching vlan members v0
Configurez l’adresse IP du VLAN entrant :
[edit interfaces] user@switch# set irb.0 family inet address 10.1.1.1/24
Pour acheminer le trafic entre les VLAN entrants et sortants, associez une interface de couche 3 à chaque VLAN :
[edit vlans] user@switch# set v1 l3-interface irb.1 user@switch# set v0 l3–interface irb.0
-
Activez l’interface de couche 3 pour que le VLAN sortant reçoive les diffusions dirigées par IP :
[edit interfaces] user@switch# set irb.1 family inet targeted-broadcast user@switch# set irb.0 family inet targeted-broadcast
Sur les commutateurs QFX5000 Series, EX4300 Series et EX4600 Series, le nombre maximal de diffusions ciblées prises en charge est de 63.
Résultats
Vérifiez les résultats :
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members v0;
}
}
}
}
vlan {
unit 0 {
family inet {
targeted-broadcast;
address 10.1.1.1/24;
}
}
unit 1 {
family inet {
targeted-broadcast;
address 10.1.2.1/24;
}
}
}
vlans {
default;
v0 {
l3-interface irb.0;
}
v1 {
l3-interface irb.1;
}
}
Vérification de l’état de la diffusion dirigée IP
But
Vérifiez que la diffusion dirigée IP est activée et qu’elle fonctionne sur le sous-réseau.
Action
Utilisez la show vlans extensive commande pour vérifier que la diffusion dirigée IP est activée et fonctionne sur le sous-réseau, comme illustré dans Exemple : Configuration de la diffusion dirigée IP sur un commutateur.