Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
SUR CETTE PAGE
 

Diffusion ciblée

En savoir plus sur la diffusion ciblée et sur la façon de la configurer.

La diffusion ciblée facilite les tâches d’administration à distance telles que les sauvegardes et le LAN wake-on (WOL) sur une interface LAN, et prend en charge les instances VRF (Virtual Routing and Forwarding). La rubrique ci-dessous traite du processus et du fonctionnement de la diffusion ciblée, de ses détails de configuration et de l’état de la diffusion sur diverses plateformes.

Aperçu

La diffusion ciblée consiste à inonder un sous-réseau cible de paquets IP de diffusion L3 provenant d’un autre sous-réseau. L’objectif de la diffusion ciblée est d’inonder le sous-réseau cible avec les paquets de diffusion sur une interface LAN sans diffuser sur l’ensemble du réseau.

La diffusion dirigée par IP est une technique qui consiste à envoyer un paquet de diffusion à un sous-réseau distant spécifique, puis à le diffuser au sein de ce sous-réseau. Vous pouvez utiliser la diffusion dirigée IP pour faciliter la gestion du réseau à distance en envoyant des paquets de diffusion aux hôtes d’un sous-réseau spécifié sans diffusion sur l’ensemble du réseau. Les paquets de diffusion dirigée IP sont diffusés uniquement sur le sous-réseau cible. Le reste du réseau traite les paquets de diffusion dirigée IP comme des paquets unicast et les transmet en conséquence.

La diffusion ciblée est configurée avec diverses options sur l’interface de sortie du routeur ou du commutateur, et les paquets IP sont diffusés uniquement sur l’interface LAN (sortie). La diffusion ciblée vous permet d’implémenter des tâches d’administration à distance, telles que les sauvegardes et le LAN wake-on (WOL) sur une interface LAN, et prend en charge les instances VRF.

Les paquets IP de diffusion L3 ordinaires provenant d’un sous-réseau sont diffusés au sein de ce même sous-réseau. Lorsque ces paquets IP atteignent un autre sous-réseau, ils sont transférés au moteur de routage (pour être transférés à d’autres applications). Par conséquent, les tâches d’administration à distance, telles que les sauvegardes, ne peuvent pas être effectuées sur un sous-réseau particulier via un autre sous-réseau. Pour contourner ce problème, vous pouvez activer la diffusion ciblée pour transférer les paquets de diffusion provenant d’un sous-réseau différent.

Les paquets IP de diffusion L3 ont une adresse IP de destination qui est une adresse de diffusion valide pour le sous-réseau cible. Ces paquets IP traversent le réseau de la même manière que les paquets IP unicast jusqu’à ce qu’ils atteignent le sous-réseau de destination, comme suit :

  1. Dans le sous-réseau de destination, si la diffusion ciblée est activée sur l’interface de sortie du routeur récepteur, les paquets IP sont transférés vers une interface de sortie et le moteur de routage ou vers une interface de sortie uniquement.
  2. Les paquets IP sont ensuite convertis en paquets IP de diffusion, qui inondent le sous-réseau cible uniquement via l’interface LAN, et tous les hôtes du sous-réseau cible reçoivent les paquets IP. Les paquets sont rejetés s’il n’existe pas d’interface LAN.
  3. La dernière étape de la séquence dépend de la diffusion ciblée :
    • Si la diffusion ciblée n’est pas activée sur le routeur de réception, les paquets IP sont traités comme des paquets IP de diffusion de couche 3 normaux et sont transférés au moteur de routage.
    • Si la diffusion ciblée est activée sans aucune option, les paquets IP sont transférés au moteur de routage.

Vous pouvez configurer la diffusion ciblée pour transférer les paquets IP uniquement vers une interface de sortie. Le transfert est utile lorsque le routeur est inondé de paquets à traiter, ou à la fois vers une interface de sortie et le moteur de routage.

Tout filtre de pare-feu configuré sur le moteur de routage lo0 ne peut pas être appliqué aux paquets IP qui sont transférés au moteur de routage à la suite d’une diffusion ciblée. La raison en est que les paquets de diffusion sont transférés en tant que trafic next-hop flood et non en tant que trafic next-hop local. Vous pouvez appliquer un filtre de pare-feu uniquement aux routes locales de saut suivant pour le trafic dirigé vers le moteur de routage.

Présentation de la diffusion ciblée

Les paquets de diffusion ciblés ont une adresse IP de destination qui est une adresse de diffusion valide pour le sous-réseau qui est la cible de la diffusion dirigée (le sous-réseau cible). L’objectif d’une diffusion ciblée est d’inonder le sous-réseau cible avec les paquets de diffusion sans les diffuser sur l’ensemble du réseau. Les paquets de diffusion ciblés ne peuvent pas provenir du sous-réseau cible.

Lorsque vous envoyez un paquet de diffusion ciblé, le réseau le transfère de la même manière qu’un paquet unicast lorsqu’il se déplace vers le sous-réseau cible. Lorsque le paquet atteint un commutateur directement connecté au sous-réseau cible, celui-ci vérifie si la diffusion ciblée est activée sur l’interface directement connectée au sous-réseau cible :

  • Si la diffusion ciblée est activée sur cette interface, le commutateur diffuse le paquet sur ce sous-réseau en réécrivant l’adresse IP de destination en tant qu’adresse IP de diffusion configurée pour le sous-réseau. Le commutateur convertit le paquet en un paquet de diffusion de couche liaison que chaque hôte du réseau traite.

  • Si la diffusion ciblée est désactivée sur l’interface directement connectée au sous-réseau cible, le commutateur abandonne le paquet.

Mise en œuvre d’une diffusion ciblée

Vous configurez la diffusion ciblée par sous-réseau en activant la diffusion ciblée sur l’interface L3 du VLAN du sous-réseau. Lorsque le commutateur connecté à ce sous-réseau reçoit un paquet dont l’adresse de destination est l’adresse IP de diffusion du sous-réseau, il diffuse le paquet à tous les hôtes du sous-réseau.

Par défaut, la diffusion ciblée est désactivée.

Quand activer la diffusion ciblée ?

La diffusion ciblée est désactivée par défaut. Activez la diffusion ciblée lorsque vous souhaitez exécuter des services de gestion ou d’administration à distance, tels que des sauvegardes ou des tâches WOL, sur des hôtes d’un sous-réseau qui ne dispose pas d’une connexion directe à Internet.

L’activation de la diffusion ciblée sur un sous-réseau n’affecte que les hôtes de ce sous-réseau. Seuls les paquets reçus sur l’interface L3 du sous-réseau dont l’adresse IP de diffusion est l’adresse de destination du sous-réseau sont inondés sur le sous-réseau.

Quand ne pas activer la diffusion ciblée

En règle générale, vous n’activez pas la diffusion ciblée sur les sous-réseaux qui ont des connexions directes à Internet. La désactivation de la diffusion ciblée sur l’interface L3 d’un sous-réseau n’affecte que ce sous-réseau. Si vous désactivez la diffusion ciblée sur un sous-réseau et qu’un paquet contenant l’adresse IP de diffusion de ce sous-réseau arrive au commutateur, celui-ci abandonne le paquet de diffusion.

Si un sous-réseau dispose d’une connexion directe à Internet, l’activation d’une diffusion ciblée sur celui-ci augmente la vulnérabilité du réseau aux attaques DoS.

Un attaquant malveillant peut usurper une adresse IP source pour tromper un réseau afin qu’il identifie l’attaquant comme légitime. L’attaquant peut ensuite envoyer des diffusions ciblées avec des paquets d’écho (ping) ICMP. Lorsque les hôtes du réseau sur lesquels la diffusion ciblée est activée reçoivent les paquets d’écho ICMP, ils envoient des réponses à la victime qui possède l’adresse IP source usurpée. Les réponses créent un flot de réponses ping lors d’une attaque DoS qui peut submerger l’adresse source usurpée connue sous le nom d’attaque schtroumpf . Une autre attaque DoS courante sur les réseaux exposés pour lesquels la diffusion ciblée est activée est l’attaque fraggle . L’attaque est similaire à une attaque schtroumpf, sauf que le paquet malveillant est un paquet d’écho UDP au lieu d’un paquet d’écho ICMP.

Configurer la diffusion ciblée

Configurer la diffusion ciblée

Vous pouvez configurer la diffusion ciblée sur une interface de sortie avec différentes options.

L’une ou l’autre de ces configurations est acceptable :

  • Vous pouvez autoriser le transfert des paquets de diffusion IP destinés à une adresse de couche 3 via l’interface de sortie et envoyer une copie des paquets de diffusion IP au moteur de routage.

  • Vous pouvez autoriser le transfert des paquets de diffusion IP uniquement via l’interface de sortie.

Notez que les paquets ne sont diffusés que si l’interface de sortie est une interface LAN.

Pour configurer la diffusion ciblée et ses options :

  1. Configurez l’interface.

    ou

  2. Configurez le numéro de l’unité logique au niveau de la [edit interfaces interface-name hiérarchie.
  3. Configurez la famille de protocoles en tant qu’inet au niveau de la [edit interfaces interface-name unit interface-unit-number hiérarchie.
  4. Configurez la diffusion ciblée au niveau de la [edit interfaces interface-name unit interface-unit-number family inet hiérarchie.
  5. Transférer des paquets de diffusion IP vers une adresse de couche 3 :
    1. via l’interface de sortie et envoyer une copie des mêmes paquets au moteur de routage.

      ou

    2. via l’interface de sortie uniquement.

Afficher les options de configuration de la diffusion ciblée

Les exemples de rubriques suivants affichent des options de configuration de diffusion ciblées :

Transférer les paquets de diffusion IP sur l’interface de sortie et vers le moteur de routage

But

Affichez la configuration lorsque la diffusion ciblée est configurée sur l’interface de sortie pour transférer les paquets de diffusion IP sur l’interface de sortie et pour envoyer une copie de ces mêmes paquets au moteur de routage.

Action

Pour afficher la configuration, exécutez la show commande à l’adresse où [edit interfaces interface-name unit interface-unit-number family inet] le nom de l’interface est ge-2/0/0, la valeur de l’unité est définie sur 0 et la famille de protocoles est définie sur inet.

Pour afficher la configuration de irb, exécutez la show commande à l’adresse [edit interfaces irb unit interface-unit-number family inet].

Transfert des paquets de diffusion IP uniquement sur l’interface de sortie

But

Affichez la configuration lorsque la diffusion ciblée est configurée sur l’interface de sortie pour transférer les paquets de diffusion IP sur l’interface de sortie uniquement.

Action

Pour afficher la configuration, exécutez la show commande à l’adresse où [edit interfaces interface-name unit interface-unit-number family inet] le nom de l’interface est ge-2/0/0, la valeur de l’unité est définie sur 0 et la famille de protocoles est définie sur inet.

Pour afficher la configuration, exécutez la show commande à l’adresse [edit interfaces irb unit interface-unit-number family inet].

Configurer la diffusion ciblée (procédure CLI)

Avant de commencer à configurer la diffusion ciblée :

Nous vous recommandons de ne pas activer la diffusion ciblée sur les sous-réseaux qui disposent d’une connexion directe à Internet en raison d’une exposition accrue aux attaques DoS.

Cette tâche utilise Junos OS pour les commutateurs EX Series qui ne prend pas en charge le style de configuration ELS. Pour plus d’informations sur ELS, reportez-vous à la section Utilisation de la CLI logicielle de couche 2 améliorée.

Vous pouvez utiliser la diffusion ciblée sur un commutateur EX Series pour faciliter la gestion du réseau à distance en envoyant des paquets de diffusion aux hôtes d’un sous-réseau spécifié sans diffusion sur l’ensemble du réseau. Les paquets de diffusion ciblés sont diffusés uniquement sur le sous-réseau cible. Le reste du réseau traite les paquets de diffusion ciblés comme des paquets unicast et transmet les paquets en conséquence.

Pour activer la diffusion ciblée pour un sous-réseau spécifié :

  1. Ajoutez les interfaces logiques du sous-réseau cible au VLAN :
  2. Configurez l’interface L3 sur le VLAN cible des paquets de diffusion ciblés :
  3. Associer une interface L3 au VLAN :
  4. Activez l’interface L3 pour que le VLAN reçoive des diffusions ciblées :

Exemple : Configurer la diffusion ciblée sur un commutateur

La diffusion ciblée permet d’envoyer des paquets de diffusion aux hôtes d’un sous-réseau spécifié sans les diffuser aux hôtes de l’ensemble du réseau.

Cet exemple montre comment permettre à un sous-réseau de recevoir des paquets de diffusion ciblés afin que vous puissiez effectuer des sauvegardes et d’autres tâches de gestion du réseau à distance :

Exigences

Cet exemple utilise les composants logiciels et matériels suivants :

  • Junos OS version 9.4 ou ultérieure pour les commutateurs EX Series ou Junos OS version 15.1X53-D10 pour les commutateurs QFX10000.

  • Un PC

  • Un commutateur EX Series ou un commutateur QFX10000

Avant de configurer la diffusion ciblée pour un sous-réseau :

Vue d’ensemble et topologie

Vous souhaiterez peut-être effectuer des tâches d’administration à distance, telles que des sauvegardes et des tâches d’application WOL pour gérer des groupes de clients sur un sous-réseau. Une façon d’effectuer les tâches d’administration consiste à envoyer des paquets de diffusion ciblés sur les hôtes d’un sous-réseau cible particulier.

Le réseau transfère les paquets de diffusion ciblés comme s’il s’agissait de paquets unicast. Lorsque le paquet de diffusion ciblé est reçu par un VLAN activé pour targeted-broadcast, le commutateur diffuse le paquet à tous les hôtes de son sous-réseau.

Dans cette topologie (voir Figure 1), un hôte est connecté à une interface sur un commutateur pour gérer les clients dans le sous-réseau 10.1.2.1/24. Lorsque le commutateur reçoit un paquet avec l’adresse IP de diffusion du sous-réseau cible comme adresse de destination, il transmet le paquet à l’interface de couche 3 du sous-réseau et le diffuse à tous les hôtes du sous-réseau.

Figure 1 : topologie pour une diffusion Network diagram showing a Management PC connected to an EX Series Switch via interface ge-0/0/3.0. The Ingress VLAN has IP 10.1.1.1/24. The Egress VLAN, with IP 10.1.2.1/24, connects via interfaces ge-0/0/0.0 and ge-0/0/1.0. ciblée

Topologie

Le tableau 1 présente les paramètres des composants de cet exemple.

Tableau 1 : Composants de la topologie de diffusion ciblée
Paramètres de la propriété

Nom du VLAN entrant

v0

Adresse IP du VLAN entrant

10.1.1.1/24

Nom du VLAN sortant

v1

Adresse IP du VLAN sortant

10.1.2.1/24

Interfaces dans le VLAN v0

ge-0/0/3.0

Interfaces dans le VLAN v1

ge-0/0/0.0 et ge-0/0/1.0

Vérifier l’état de la diffusion ciblée

But

Vérifiez que la diffusion ciblée est activée et qu’elle fonctionne sur le sous-réseau.

Action

Utilisez la show vlans extensive commande pour vérifier que la diffusion ciblée est activée et fonctionne sur le sous-réseau.

Voir aussi

Vérifier l’état de la diffusion ciblée

But

Vérifiez que la diffusion ciblée est activée et qu’elle fonctionne sur le sous-réseau.

Action

Utilisez la show vlans extensive commande pour vérifier que la diffusion ciblée est activée et fonctionne sur le sous-réseau.