ターゲットブロードキャスト
ターゲットブロードキャストの概要とターゲットブロードキャストの設定方法について説明します。
ターゲットブロードキャストは、LAN インターフェイスのバックアップや、wake-on LAN (WOL) などのリモート管理タスクに役立ち、仮想ルーティングと転送(VRF)インスタンスをサポートします。以下のトピックでは、ターゲットブロードキャストのプロセスと機能、その設定の詳細、および様々なプラットフォームでのブロードキャストのステータスについて説明します。
概要
ターゲットブロードキャストは、異なるサブネットから発信される L3 ブロードキャスト IP パケットで、ターゲットサブネットをフラッディングするプロセスです。ターゲットブロードキャストの意図は、ネットワーク全体にブロードキャストせずに、LAN インターフェイス上のブロードキャストパケットでターゲットサブネットをフラッディングすることです。
ターゲットブロードキャストは、ルーターまたはスイッチのエグレスインターフェイス上のさまざまなオプションで設定され、IPパケットはLAN(エグレス)インターフェイス上のみでブロードキャストされます。ターゲットブロードキャストは、LAN インターフェイスのバックアップや、wake-on LAN (WOL) などのリモート管理タスクを実行するのに役立ち、VRF インスタンスをサポートします。
サブネットから発信される通常の L3 ブロードキャスト IP パケットは、同じサブネット内でブロードキャストされます。これらの IP パケットが異なるサブネットに到達すると、パケットはルーティングエンジンに転送されます(他のアプリケーションに転送するため)。したがって、バックアップなどのリモート管理タスクは、別のサブネットを介して特定のサブネットで実行できません。回避策として、ターゲットブロードキャストを有効にして、別のサブネットから発信されたブロードキャストパケットを転送することができます。
L3 ブロードキャスト IP パケットには、ターゲットサブネットの有効なブロードキャストアドレスであるIP アドレスがあります。これらの IP パケットは、次のように、宛先サブネットに到達するまでユニキャスト IP パケットと同じ方法でネットワークを通過します。
- 宛先サブネットでは、受信ルーターがエグレスインターフェイスでターゲットブロードキャストを有効にしている場合、IP パケットがエグレスインターフェイスとルーティングエンジン、またはエグレスインターフェイスのみに転送されます。
- IPパケットはその後、LANインターフェイスを介してのみターゲットサブネットをフラッディングするブロードキャストIPパケットに変換され、ターゲットサブネット上のすべてのホストがIPパケットを受信します。LANインターフェイスが存在しない場合、パケットは破棄されます。
- シーケンスの最後のステップは、ターゲットとするブロードキャストによって異なります。
- ターゲットブロードキャストが受信ルーターで有効化されていない場合、IPパケットは通常のレイヤー3ブロードキャストIPパケットとして扱われ、ルーティングエンジンに転送されます。
- ターゲットブロードキャストがオプションなしで有効化されている場合、IPパケットがルーティングエンジンに転送されます。
ターゲットブロードキャストを設定し、IPパケットのみをエグレスインターフェイスに転送することができます。この転送は、ルーター、またはエグレスインターフェイスとルーティングエンジン双方に、処理するパケットが殺到している場合に役立ちます。
ルーティングエンジン lo0 で設定された ファイアウォールフィルター は、ターゲットブロードキャストの結果として ルーティングエンジン に転送される IP パケットに適用されません。その理由は、ブロードキャスト パケットがローカル ネクストホップ トラフィックではなく、フラッド ネクストホップ トラフィックとして転送されるためです。ファイアウォールフィルターは、ルーティングエンジンに向けられたトラフィックのローカルネクストホップルートにのみ適用できます。
ターゲットブロードキャストの理解
パケットが宛先サブネットに到達し、ターゲットブロードキャストが受信スイッチで有効になっている場合、スイッチはターゲットブロードキャストパケットをブロードキャストに変換します。変換により、ターゲットサブネット上のパケットがフラッディングされます。ターゲットサブネット上のすべてのホストが、ターゲットブロードキャストパケットを受信します。
このトピックの内容は次のとおりです。
ターゲットブロードキャストの概要
ターゲットブロードキャストパケットには、ダイレクトブロードキャストのターゲットであるサブネット(ターゲットサブネット)の有効なブロードキャストアドレスであるIP アドレスがあります。ターゲットブロードキャストの意図は、ネットワーク全体にブロードキャストせずに、ブロードキャストパケットでターゲットサブネットをフラッディングすることです。ターゲットブロードキャストパケットをターゲットサブネットから発信することはできません。
ターゲットブロードキャストパケットを送信すると、ターゲットサブネットに移動するときに、ネットワークはユニキャストパケットを転送するのと同じ方法でパケットを転送します。パケットがターゲットサブネットに直接接続されているスイッチに到達すると、スイッチはターゲットサブネットに直接接続されているインターフェイスでターゲットブロードキャストが有効になっているかどうかを確認します。
ターゲットブロードキャストがそのインターフェイスで有効になっている場合、スイッチは、サブネットに設定されたブロードキャスト IP アドレスとしてIP アドレスを書き換えて、そのサブネットでパケットをブロードキャストします。スイッチは、パケットをリンク層ブロードキャスト パケットに変換し、ネットワーク上のすべてのホストが処理します。
ターゲットサブネットに直接接続されているインターフェイスでターゲットブロードキャストが無効になっている場合、スイッチはパケットをドロップします。
ターゲットブロードキャストの実装
ターゲットブロードキャストをサブネットごとに設定するには、サブネットの VLAN の L3 インターフェイスでターゲットブロードキャストを有効にします。そのサブネットに接続されているスイッチが、サブネットのブロードキャスト IP アドレスを宛先アドレスとして持つパケットを受信すると、スイッチはサブネット上のすべてのホストにパケットをブロードキャストします。
デフォルトでは、ターゲットブロードキャストは無効になっています。
ターゲットブロードキャストを有効にするタイミング
ターゲットブロードキャストはデフォルトで無効になっています。インターネットに直接接続されていないサブネット内のホストで、バックアップや WOL タスクなどのリモート管理または管理サービスを実行する場合は、ターゲットブロードキャストを有効にします。
サブネット上でターゲットブロードキャストを有効にすると、そのサブネット内のホストにのみ影響します。サブネットのブロードキャスト IP アドレスを宛先アドレスとするサブネットの L3 インターフェイスで受信したパケットのみが、サブネットにフラッディングされます。
ターゲットブロードキャストを有効にしない場合
通常、インターネットに直接接続しているサブネットでは、ターゲットブロードキャストを有効にしません。サブネットの L3 インターフェイスでターゲットブロードキャストを無効にすると、そのサブネットにのみ影響します。サブネット上のターゲットブロードキャストを無効にし、そのサブネットのブロードキャスト IP アドレスを持つパケットがスイッチに到着すると、スイッチはブロードキャストパケットをドロップします。
サブネットがインターネットに直接接続されている場合、そのサブネット上でターゲットブロードキャストを有効にすると、ネットワークが DoS 攻撃を受けやすくなります。
悪意のある攻撃者は、送信元 IP アドレスをスプーフィングして、ネットワークを欺き、攻撃者を正規のものとして識別させることができます。その後、攻撃者はICMPエコー(ping)パケットでターゲットブロードキャストを送信できます。ターゲットブロードキャストが有効になっているネットワーク上のホストがICMPエコーパケットを受信すると、ホストは、なりすましの送信元IPアドレスを持つ被害者に応答を送信します。この返信により、DoS攻撃でping返信が大量に発生し、 スマーフ 攻撃と呼ばれるなりすましの送信元アドレスを圧倒する可能性があります。ターゲットブロードキャストが有効になっている公開ネットワークでよくあるDoS攻撃として、 フラグル 攻撃があります。この攻撃は smurf 攻撃と似ていますが、悪意のあるパケットが ICMP エコー パケットではなく UDP エコー パケットである点が異なります。
ターゲットブロードキャストの設定
ターゲットブロードキャストの設定
さまざまなオプションを使って、エグレスインターフェイス上でターゲットブロードキャストを設定することができます。
次のどちらの設定も可能です。
-
レイヤー3アドレス宛てのIPブロードキャストパケットを、エグレスインターフェイス経由で転送し、IPブロードキャストパケットのコピーをルーティングエンジンに送信することができます。
-
IPブロードキャストパケットを、エグレスインターフェイスを介してのみ転送するように許可することができます。
なおパケットは、エグレスインターフェイスがLANインターフェイスである場合にのみブロードキャストされます。
ターゲットブロードキャストとそのオプションを設定するには:
ターゲットブロードキャスト設定オプションを表示する
次の例では、ターゲットブロードキャストの設定オプションについて示しています。
エグレスインタフェイス上のIPブロードキャストパケットをルーティングエンジンに転送する
目的
エグレスインターフェイス上で、ターゲットブロードキャストがエグレスインターフェイス上のIPブロードキャストパケットを転送し、同じパケットのコピーをルーティングエンジンに送信するように設定されている場合、構成が表示されます。
アクション
設定を表示するには、インターフェイス名がge-2/0/0でユニット値が0に設定され、プロトコルファミリーがinetに設定されている[edit interfaces interface-name unit interface-unit-number family inet]でshowコマンドを実行します。
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
irb の設定を表示するには、[edit interfaces irb unit interface-unit-number family inet]で show コマンドを実行します。
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
エグレスインターフェイス上でのみIPブロードキャストパケットを転送する
目的
エグレスインターフェイス上で、エグレスインターフェイス上のみでIPブロードキャストパケットを転送するようにターゲットブロードキャストが設定されている場合に、設定を表示します。
アクション
設定を表示するには、インターフェイス名がge-2/0/0でユニット値が0に設定され、プロトコルファミリーがinetに設定されている[edit interfaces interface-name unit interface-unit-number family inet]でshowコマンドを実行します。
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
設定を表示するには、[edit interfaces irb unit interface-unit-number family inet]で show コマンドを実行します。
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
ターゲットブロードキャストの設定(CLI手順)
ターゲットブロードキャストの設定を始める前に:
IP ダイレクト ブロードキャストを使用してパケットをブロードキャストするサブネットが、インターネットに直接接続されていないことを確認します。
IPダイレクトブロードキャストを有効にするサブネットのRVI(Routed VLAN Interface)を設定します。 スイッチ上でのルーティングされたVLANインターフェイスの設定(CLI 手順)を参照してください。
DoS 攻撃にさらされる可能性が高まるため、インターネットに直接接続しているサブネットでは、ターゲットブロードキャストを有効にしないことをお勧めします。
このタスクでは、ELS設定スタイルをサポートしないEXシリーズスイッチでJunos OSを使用します。ELSの詳細については、「 拡張レイヤー2ソフトウェアCLIの使用」を参照してください。
EXシリーズスイッチでターゲットブロードキャストを使用すると、ネットワーク全体にブロードキャストせずに、指定されたサブネット上のホストにブロードキャストパケットを送信することで、リモートネットワーク管理を容易にすることができます。ターゲットブロードキャストパケットは、ターゲットサブネットのみでブロードキャストされます。ネットワークの残りの部分は、ターゲットブロードキャストパケットをユニキャストパケットとして扱い、それに応じてパケットを転送します。
指定したサブネットでターゲットブロードキャストを有効にするには:
例:スイッチでのターゲットブロードキャストの設定
ターゲットブロードキャストは、ネットワーク全体のホストにブロードキャストパケットをブロードキャストせずに、指定されたサブネット上のホストにブロードキャストパケットを送信する方法を提供します。
この例では、サブネットがターゲットブロードキャストパケットを受信できるようにして、バックアップやその他のネットワーク管理タスクをリモートで実行できるようにする方法を示しています。
必要条件
この例では、以下のソフトウェアおよびハードウェアコンポーネントを使用しています:
-
EXシリーズスイッチの場合は Junos OS リリース 9.4 以降、QFX10000 スイッチの場合は Junos OS リリース 15.1X53-D10。
-
PC 1台
-
1 つの EXシリーズ スイッチまたは QFX10000 スイッチ
サブネットのターゲットブロードキャストを設定する前に:
-
サブネットがインターネットに直接接続されていないことを確認します。
-
スイッチ上のイングレスおよびエグレス VLAN 用に RVI(ルーテッド VLAN インターフェイス)を設定します。非ELSについては、 スイッチ上でのルーティングされたVLANインターフェイスの設定(CLI手順) または EXシリーズスイッチのVLANの設定(J-Web手順)を参照してください。ELSについては、 l3-interfaceを参照してください。
概要とトポロジー
バックアップや WOL アプリケーション タスクなどのリモート管理タスクを実行して、サブネット上のクライアント グループを管理することができます。管理タスクを実行する 1 つの方法は、特定のターゲットサブネット内のホストをターゲットとするターゲットブロードキャストパケットを送信することです。
ネットワークは、ターゲットブロードキャストパケットを、あたかもユニキャストパケットであるかのように転送します。ターゲットのブロードキャストパケットが、 targeted-broadcastが有効になっているVLANによって受信されると、スイッチはそのパケットをサブネット内のすべてのホストにブロードキャストします。
このトポロジー( 図 1 を参照)では、ホストはスイッチ上のインターフェースに接続され、サブネット 10.1.2.1/24 内のクライアントを管理します。スイッチは、ターゲット サブネットのブロードキャスト IP アドレスを宛先アドレスとして持つパケットを受信すると、パケットをサブネットのレイヤー 3 インターフェイスに転送し、サブネット内のすべてのホストにブロードキャストします。
のトポロジー
位相幾何学
表 1 は、この例のコンポーネントの設定を示しています。
| プロパティ | 設定 |
|---|---|
| イングレスVLAN名 |
|
| イングレスVLAN IPアドレス |
|
| エグレスVLAN名 |
|
| エグレスVLAN IPアドレス |
|
| VLAN |
|
| VLAN |
|
IP ダイレクト ブロードキャスト ステータスの確認
目的
IP ダイレクト ブロードキャストが有効で、サブネット上で動作していることを確認します。
アクション
show vlans extensive コマンドを使用して、IP ダイレクト ブロードキャストが有効であり、サブネット上で動作していることを確認します(例:スイッチ上で IP ダイレクト ブロードキャストを設定するを参照)。