ターゲットを絞ったブロードキャスト
対象を絞ったブロードキャストは、LANインターフェイスでのバックアップやWOL(ウェイクオンLAN)などのリモート管理タスクに役立ち、VRF(仮想ルーティングおよび転送)インスタンスをサポートします。以下のトピックでは、ターゲットとするブロードキャストのプロセスと機能、その設定の詳細、さまざまなプラットフォームにおけるブロードキャストのステータスについて説明します。
ターゲットを絞ったブロードキャストについて
対象となるブロードキャストとは、ターゲット サブネットに、異なるサブネットから送信されたレイヤー 3 ブロードキャスト IP パケットをフラッディングするプロセスです。ターゲットとなるブロードキャストの意図は、ネットワーク全体にブロードキャストを送信せずに、ターゲット サブネットを LAN インターフェイス上のブロードキャスト パケットでフラッディングします。ターゲットを絞ったブロードキャストは、ルーターまたはスイッチのエグレス インターフェイス上のさまざまなオプションを使用して設定され、IP パケットは LAN(エグレス)インターフェイスでのみブロードキャストされます。ターゲットを絞ったブロードキャストは、LANインターフェイスでのバックアップやWOL(ウェイクオンLAN)などのリモート管理タスクの実装に役立ち、VRF(仮想ルーティングと転送)インスタンスをサポートします。
サブネットから送信された通常のレイヤー 3 ブロードキャスト IP パケットは、同じサブネット内でブロードキャストされます。これらの IP パケットが別のサブネットに到達すると、それらのパケットはデバイスにルーティング エンジンされます(これは他のアプリケーションに転送されます)。そのため、バックアップなどのリモート管理タスクは、別のサブネットを介した特定のサブネット上で実行できません。回避策として、別のサブネットから発信されたブロードキャスト パケットを転送するためのターゲットを絞ったブロードキャストを有効にできます。
レイヤー 3 ブロードキャスト IP パケットには、宛先 IP アドレスが、ターゲット サブネットの有効なブロードキャスト アドレスになります。これらの IP パケットは、宛先サブネットに到達するまで、ユニキャスト IP パケットと同じ方法でネットワークを通過します。
- 宛先サブネットでは、受信ルーターがエグレス インターフェイスで有効になっているブロードキャストを対象にしている場合、IP パケットはエグレス インターフェイスと ルーティング エンジン、またはエグレス インターフェイスにのみ転送されます。
- その後、IP パケットはブロードキャスト IP パケットに変換され、このパケットは LAN インターフェイスを介してのみターゲット サブネットをフラッディングし、ターゲット サブネット上のすべてのホストが IP パケットを受信します。パケットは破棄されます LANインターフェイスが存在しない場合、
- シーケンスの最後のステップは、対象となるブロードキャストによって異なります。
- 受信側ルーターでターゲットを絞ったブロードキャストが有効になっていない場合、IP パケットは通常のレイヤー 3 ブロードキャスト IP パケットとして扱われるので、パケットルーティング エンジン。
- ターゲットを絞ったブロードキャストがオプションなしで有効になっている場合、IP パケットはデバイスにルーティング エンジン。
IP パケットをエグレス インターフェイスにだけ転送するために、ターゲットを絞ったブロードキャストを設定できます。これは、ルーターが処理するパケット、またはエグレス インターフェイスとパケット インターフェイスの両方にあふれしている場合にルーティング エンジン。
ターゲットを絞ったブロードキャスト オプションforward-and-send-to-resamplingと、トラフィック サンプリング オプションが M320 ルーター、T640 ルーター、または MX960 ルーターの同じエグレス インターフェイス上で設定されている場合、ターゲットブロードキャストは機能しません。この障害を克服するにはsamplingforward-only、これらのオプションのいずれかを無効にするか、エグレス インターフェイスでターゲットのブロードキャスト オプションを使用するオプションを有効にする必要があります。トラフィックのサンプリングについて、詳しくは トラフィック サンプリングの設定 を参照してください。
ルーティング エンジン ループバック インターフェイス(lo0)上で設定されたファイアウォール フィルタは、ターゲットのブロードキャストの結果として ルーティング エンジン に転送される IP パケットに適用できません。これは、ブロードキャスト パケットは、ローカルのネクスト ホップ トラフィックとしてではなく、フラッド ネクスト ホップ トラフィックとして転送され、ファイアウォール フィルタを ルーティング エンジン 方向のトラフィックに対してローカルのネクスト ホップ ルートにのみ適用できるためです。
詳細については、
IP ダイレクト ブロードキャストについて
IP ダイレクト ブロードキャストは、指定された宛先サブネット内のホストを標的としたブロードキャスト パケットを送信することにより、バックアップや WOL(ウェイク オン LAN)アプリケーション タスクなどのリモート管理タスクを実装するのに役立ちます。IP ダイレクト ブロードキャスト パケットは、ユニキャスト IP パケットが宛先サブネットに到達するまで、ネットワークを通過します。宛先サブネットに到達し、受信スイッチで IP ダイレクト ブロードキャストが有効になっている場合、スイッチは IP ダイレクト ブロードキャスト パケットをブロードキャストに変換(分解)し、ターゲット サブネット上のパケットをフラッディングします。ターゲット サブネット上のすべてのホストは、IP ダイレクト ブロードキャスト パケットを受信します。
このトピックでは、以下について説明します。
IP ダイレクト ブロードキャストの概要
IP ダイレクト ブロードキャスト パケットには、宛先ブロードキャスト(ターゲット サブネット)のターゲットであるサブネットの有効なブロードキャスト アドレスである宛先 IP アドレスが含されます。IP ダイレクト ブロードキャストの意図は、ネットワーク全体にブロードキャストを送信せずに、ターゲット サブネットをブロードキャスト パケットでフラッディングします。IP ダイレクト ブロードキャスト パケットをターゲット サブネットから発信することはできません。
IP ダイレクト ブロードキャスト パケットを送信すると、ターゲット サブネットに移動すると、ネットワークはユニキャスト パケットを転送するのと同じ方法でブロードキャスト パケットを転送します。パケットがターゲット サブネットに直接接続されているスイッチに到達すると、スイッチは、ターゲット サブネットに直接接続されたインターフェイス上で IP ダイレクト ブロードキャストが有効になっているかどうかをチェックします。
そのインターフェイスで IP ダイレクト ブロードキャストが有効になっている場合、スイッチは宛先 IP アドレスをサブネットの設定済みのブロードキャスト IP アドレスとして書き換えて、そのサブネット上のパケットをブロードキャストします。スイッチは、パケットをネットワーク上のすべてのホストが処理するリンクレイヤー ブロードキャスト パケットに変換します。
ターゲット サブネットに直接接続されているインターフェイスで IP ダイレクト ブロードキャストが無効になっている場合、スイッチはパケットをドロップします。
IP ダイレクト ブロードキャストの実装
IP ダイレクト ブロードキャストをサブネット単位で設定するには、サブネットの VLAN のレイヤー 3 インターフェイスで IP ダイレクト ブロードキャストを有効にします。そのサブネットに接続しているスイッチが、サブネットのブロードキャスト IP アドレスを持つパケットを宛先アドレスとして受信すると、そのパケットはサブネット上のすべてのホストにブロードキャストされます。
デフォルトでは、IP ダイレクト ブロードキャストは無効になっています。
IP ダイレクト ブロードキャストを有効にする場合
デフォルトでは、IP ダイレクト ブロードキャストは無効になっています。インターネットに直接接続していないサブネット内のホストでバックアップや WOL タスクなどのリモート管理サービスや WOL タスクを実行する場合、IP ダイレクト ブロードキャストを有効にします。
サブネット上で IP ダイレクト ブロードキャストを有効にすると、そのサブネット内のホストにのみ影響を与える。宛先アドレスとしてサブネットのブロードキャストIPアドレスを持つサブネットのレイヤー3インターフェイスで受信したパケットだけが、サブネットにフラッディングされます。
IP ダイレクト ブロードキャストを有効にしない場合
通常、インターネットに直接接続しているサブネット上で IP ダイレクト ブロードキャストを有効にしません。サブネットのレイヤー 3 インターフェイスで IP ダイレクト ブロードキャストを無効にすると、そのサブネットにのみ影響します。サブネット上の IP ダイレクト ブロードキャストを無効にし、そのサブネットのブロードキャスト IP アドレスを持つパケットがスイッチに到着すると、スイッチはブロードキャスト パケットをドロップします。
サブネットがインターネットに直接接続している場合、そのサブネット上で IP ダイレクト ブロードキャストを有効にすると、ネットワークによる攻撃(サービス拒否)のDoSになります。
たとえば、悪意のある攻撃者がソース IP アドレスをスプーフィングし(送信元とは異なるソース IP アドレスを使用して、ネットワークを欺いて攻撃者を正規のソースとして識別します)、インターネット制御メッセージ プロトコル(ICMP)のエコー(ping)パケットを含む IP ダイレクト ブロードキャストを送信できます。IP ダイレクト ブロードキャストが有効になっているネットワーク上のホストが ICMP Echo パケットを受信すると、スプーフィングされた送信元 IP アドレスを持つ被害者に対してすべての応答を送信します。これにより、スプーフィングされた送信元アドレスを圧倒DoSなパケット攻撃に対する多くの ping 応答が発生します。これはスムーフ攻撃と呼ばれる攻撃ですIP ダイレクト ブロードキャストを有効にした公開されたネットワークに対する、もう 1 つの一般的な DoS 攻撃は、スマーフ攻撃と同様の攻撃です。ただし、悪意のあるパケットは ICMP Echo パケットの代わりに、ユーザー データグラム プロトコル(UDP)のエコー パケットである場合を除きます。
詳細については、
ターゲットを絞ったブロードキャストの設定
次のセクションでは、エグレス インターフェイスでターゲットを絞ったブロードキャストを設定する方法とそのオプションについて説明します。
ターゲットを絞ったブロードキャストとそのオプションを設定する
さまざまなオプションを使用して、エグレス インターフェイスでターゲットを絞ったブロードキャストを設定できます。
以下のいずれかの設定を使用できます。
-
レイヤー 3 ブロードキャスト アドレス宛の IP パケットをエグレス インターフェイスで転送し、IP パケットのコピーをパケット パケットにルーティング エンジン。
-
IP パケットは、エグレス インターフェイスでのみ転送できます。
パケットは、エグレス インターフェイスがLANインターフェイスである場合にのみブロードキャストされます。
対象となるブロードキャストとそのオプションを設定するには、次の手順に示します。
ターゲットを絞ったブロードキャスト オプションforward-and-send-to-resamplingと、トラフィック サンプリング オプションが M320 ルーター、T640 ルーター、または MX960 ルーターの同じエグレス インターフェイス上で設定されている場合、ターゲットブロードキャストは機能しません。この障害を克服するにはsamplingforward-only、これらのオプションのいずれかを無効にするか、エグレス インターフェイスでターゲットのブロードキャスト オプションを使用するオプションを有効にする必要があります。トラフィックのサンプリングについて、詳しくは トラフィック サンプリングの設定 を参照してください。
ターゲットを絞ったブロードキャスト設定オプションを表示
次の例のトピックは、対象となるブロードキャスト設定オプションを示しています。
例: エグレス インターフェイス上のIPパケットを宛先に転送ルーティング エンジン
目的
エグレス インターフェイスでターゲットを絞ったブロードキャストが設定されている場合に設定を表示し、エグレス インターフェイス上のIPパケットを転送し、IPパケットのコピーをルーティング エンジン。
アクション
show [edit interfaces interface-name unit interface-unit-number family inet]設定を表示するには、インターフェイス名がge-2/0/0の場所で コマンドを実行し、ユニット値が0に設定され、プロトコル ファミリーが inet に設定されます。
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
例: エグレス インターフェイスでのみIPパケットを転送
目的
エグレス インターフェイスでのみ IP パケットを転送するために、対象となるブロードキャストがエグレス インターフェイスで設定されている場合の設定を表示します。
アクション
show [edit interfaces interface-name unit interface-unit-number family inet]設定を表示するには、インターフェイス名がge-2/0/0の場所で コマンドを実行し、ユニット値が0に設定され、プロトコル ファミリーが inet に設定されます。
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
IP ダイレクト ブロードキャストの設定(CLI手順)
IP ダイレクト ブロードキャストの設定を開始する前に、以下を実行します。
IP ダイレクト ブロードキャストを使用するブロードキャスト パケットが必要なサブネットが、インターネットに直接接続されていることを確認します。
IP ダイレクト ブロードキャストに対して有効になるサブネットの RVI(Routed VLAN Interface)を設定します。「 Routed VLAN Interfaces on スイッチ(CLI手順)」を参照してください。
インターネットに直接接続しているサブネット上では、インターネットへの攻撃への影響が増加している場合、IP ダイレクト ブロードキャストを有効にサービス拒否推奨DoSください。
このタスクはJunos OS ELS(拡張EX シリーズレイヤー 2 ソフトウェア)設定スタイルに対応していないスイッチの設定にこのスイッチを使用します。ELS の詳細については、「 Enhanced Layer 2 Software CLI を参照してください。
EX シリーズ スイッチ上で IP ダイレクト ブロードキャストを使用して、ネットワーク全体にブロードキャストを送信せずに、指定されたサブネット上のホストにブロードキャスト パケットを送信することで、リモート ネットワークの管理を容易にできます。IP ダイレクト ブロードキャスト パケットは、ターゲット サブネット上でのみブロードキャストされます。残りのネットワークは、IP ダイレクト ブロードキャスト パケットをユニキャスト パケットとして扱い、そのパケットに応じてパケットを転送します。
指定されたサブネットの IP ダイレクト ブロードキャストを有効にするには、次の方法に示します。
詳細については、
例: スイッチでの IP ダイレクト ブロードキャストの設定
IP ダイレクト ブロードキャストは、ネットワーク全体のホストにブロードキャスト パケットをブロードキャストすることなく、指定されたサブネット上のホストにブロードキャスト パケットを送信する方法を提供します。
この例では、IP ダイレクト ブロードキャスト パケットを受信するサブネットを有効にし、バックアップなどのネットワーク管理タスクをリモートで実行する方法を示しています。
要件
この例では、次のソフトウェアとハードウェアのコンポーネントを使用しています。
Junos OS スイッチ用のリリース 9.4 EX シリーズ以降、またはJunos OS スイッチ15.1X53-D10の15.1X53-D10リリース 9.4 QFX10000。
1 PC
1 EX シリーズスイッチまたはQFX10000スイッチ
サブネットの IP ダイレクト ブロードキャストを設定する前に、以下を実行します。
サブネットがインターネットに直接接続していないのを確認します。
スイッチ上のイングレス/エグレス VLAN の Routed VLAN Interface(RVIS)を設定します。非 ELS については、 スイッチ での Routed VLAN Interface の設定(CLI プロシージャ) または EX シリーズ スイッチ 用の VLAN の設定( J-Web プロシージャ) を参照してください。ELSについては、 L3インターフェイス を参照してください。
概要とトポロジー
バックアップやWOL(Wake-on-LAN)アプリケーションのタスクなどのリモート管理タスクを実行して、サブネット上のクライアントグループを管理することができます。これを行う 1 つの方法は、特定のターゲット サブネット内のホストを標的にした IP ダイレクト ブロードキャスト パケットを送信します。
ネットワークは、ユニキャスト パケットのように IP ダイレクト ブロードキャスト パケットを転送します。IP ダイレクト ブロードキャスト パケットが有効になっている VLAN targeted-broadcastによって受信された場合、スイッチはパケットをサブネット内のすべてのホストにブロードキャストします。
このトポロジー(図 1 を参照) では、ホストがスイッチ上のインターフェイスに接続し、サブネット内のクライアントを管理します 10.1.2.1/24。スイッチが、ターゲット サブネットのブロードキャスト IP アドレスを持つパケットを宛先アドレスとして受信すると、そのパケットをサブネットのレイヤー 3 インターフェイスに転送し、サブネット内のすべてのホストにブロードキャストします。
トポロジ
表 1 は、この例のコンポーネントの設定を示しています。
| プロパティ | 設定 |
|---|---|
イングレス VLAN 名 |
|
受信 VLAN IP アドレス |
|
エグレスVLAN名 |
|
エグレスVLAN IPアドレス |
|
VLAN のインターフェイス |
|
VLAN のインターフェイス |
|
非 ELS デバイスに対する IP ダイレクト ブロードキャストのスイッチ
サブネット上で IP ダイレクト ブロードキャストを設定して、ホストのリモート管理を有効にするには、次の手順に示します。
手順
CLI迅速な設定
サブネットを標的とする IP 10.1.2.1/24ダイレクト ブロードキャストを受け入れるスイッチを迅速に設定するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit]
set interfaces ge-0/0/0.0 family ethernet-switching vlan members v1
set interfaces ge-0/0/1.0 family ethernet-switching vlan members v1
set interfaces vlan.1 family inet address 10.1.2.1/24
set interfaces ge-0/0/3.0 family ethernet-switching vlan members v0
set interfaces vlan.0 family inet address 10.1.1.1/24
set vlans v1 l3-interface vlan.1
set vlans v0 l3-interface vlan.0
set interfaces vlan.1 family inet targeted-broadcast
手順
サブネットを標的とした IP ダイレクト ブロードキャストを受け入れるスイッチを設定するには、次の手順に示します 10.1.2.1/24。
論理インターフェイスを
ge-0/0/0.0VLAN に追加しますv1。[edit interfaces] user@switch# set ge-0/0/0.0 family ethernet-switching vlan members v1
論理インターフェイスを
ge-0/0/1.0VLAN に追加しますv1。[edit interfaces] user@switch# set ge-0/0/1.0 family ethernet-switching vlan members v1
エグレス VLAN の IP アドレスを設定します
v1。[edit interfaces] user@switch# set vlan.1 family inet address 10.1.2.1/24
論理インターフェイスを
ge-0/0/3.0VLAN に追加しますv0。[edit interfaces] user@switch# set ge-0/0/3.0 family ethernet-switching vlan members v0
イングレス VLAN の IP アドレスを設定します。
[edit interfaces] user@switch# set vlan.0 family inet address 10.1.1.1/24
イングレス VLAN とエグレス VLAN 間でトラフィックをルーティングするには、レイヤー 3 インターフェイスを各 VLAN に関連付ける必要があります。
[edit vlans] user@switch# set v1 l3-interface vlan.1 user@switch# set v0 l3–interface vlan.0
エグレス VLAN のレイヤー 3 インターフェイスを有効にして、IP ダイレクト ブロードキャストを受信します。
[edit interfaces] user@switch# set vlan.1 family inet targeted-broadcast user@switch# set vlan.0 family inet targeted-broadcast
結果
結果を確認する:
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members v0;
}
}
}
}
vlan {
unit 0 {
family inet {
targeted-broadcast;
address 10.1.1.1/24;
}
}
unit 1 {
family inet {
targeted-broadcast;
address 10.1.2.1/24;
}
}
}
vlans {
default;
v0 {
l3-interface vlan.0;
}
v1 {
l3-interface vlan.1;
}
}
ELS サポートを使用したユーザー向スイッチ IP ダイレクト ブロードキャストの設定
サブネット上で IP ダイレクト ブロードキャストを設定して、ホストのリモート管理を有効にするには、次の手順に示します。
手順
CLI迅速な設定
サブネットを標的とする IP 10.1.2.1/24ダイレクト ブロードキャストを受け入れるスイッチを迅速に設定するには、以下のコマンドをコピーして、スイッチの端末ウィンドウに貼り付けます。
[edit]
set interfaces ge-0/0/0.0 family ethernet-switching vlan members v1
set interfaces ge-0/0/1.0 family ethernet-switching vlan members v1
set interfaces irb.1 family inet address 10.1.2.1/24
set interfaces ge-0/0/3.0 family ethernet-switching vlan members v0
set interfaces irb.0 family inet address 10.1.1.1/24
set vlans v1 l3-interface irb.1
set vlans v0 l3-interface irb.0
set interfaces irb.1 family inet targeted-broadcast
手順
サブネットを標的とした IP ダイレクト ブロードキャストを受け入れるスイッチを設定するには、次の手順に示します 10.1.2.1/24。
論理インターフェイスを
ge-0/0/0.0VLAN に追加しますv1。[edit interfaces] user@switch# set ge-0/0/0.0 family ethernet-switching vlan members v1
論理インターフェイスを
ge-0/0/1.0VLAN に追加しますv1。[edit interfaces] user@switch# set ge-0/0/1.0 family ethernet-switching vlan members v1
エグレス VLAN の IP アドレスを設定します
v1。[edit interfaces] user@switch# set irb.1 family inet address 10.1.2.1/24
論理インターフェイスを
ge-0/0/3.0VLAN に追加しますv0。[edit interfaces] user@switch# set ge-0/0/3.0 family ethernet-switching vlan members v0
イングレス VLAN の IP アドレスを設定します。
[edit interfaces] user@switch# set irb.0 family inet address 10.1.1.1/24
イングレス VLAN とエグレス VLAN 間でトラフィックをルーティングするには、レイヤー 3 インターフェイスを各 VLAN に関連付ける必要があります。
[edit vlans] user@switch# set v1 l3-interface irb.1 user@switch# set v0 l3–interface irb.0
-
エグレス VLAN のレイヤー 3 インターフェイスを有効にして、IP ダイレクト ブロードキャストを受信します。
[edit interfaces] user@switch# set irb.1 family inet targeted-broadcast user@switch# set irb.0 family inet targeted-broadcast
QFX5000 シリーズ、EX4300 シリーズ、EX4600 シリーズのスイッチでは、サポートされるターゲットブロードキャストの最大数は 63 です。
結果
結果を確認する:
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members v0;
}
}
}
}
vlan {
unit 0 {
family inet {
targeted-broadcast;
address 10.1.1.1/24;
}
}
unit 1 {
family inet {
targeted-broadcast;
address 10.1.2.1/24;
}
}
}
vlans {
default;
v0 {
l3-interface irb.0;
}
v1 {
l3-interface irb.1;
}
}
IP ダイレクト ブロードキャスト ステータスの検証
目的
IP ダイレクト ブロードキャストが有効で、サブネット上で動作している検証します。
アクション
コマンドを show vlans extensive 使用して、例: スイッチでの IP ダイレクト ブロードキャストの設定 に示すように、IP ダイレクト ブロードキャストが有効で、サブネット上で動作 している必要があります。