Difusión dirigida
Obtenga más información sobre la difusión dirigida y cómo configurar la difusión dirigida.
La difusión dirigida ayuda en tareas de administración remota, como copias de seguridad y LAN de activación (WOL) en una interfaz de LAN, y admite instancias de enrutamiento y reenvío virtual (VRF). El siguiente tema analiza el proceso y el funcionamiento de la difusión dirigida, sus detalles de configuración y el estado de la difusión en varias plataformas.
Descripción general
La difusión dirigida es un proceso que consiste en inundar una subred de destino con paquetes IP de difusión L3 que se originan en una subred diferente. La intención de la difusión dirigida es inundar la subred de destino con los paquetes de difusión en una interfaz LAN sin difundir a toda la red.
La difusión dirigida por IP es una técnica en la que se envía un paquete de difusión a una subred remota específica y, a continuación, se difunde dentro de esa subred. Puede usar la difusión dirigida por IP para facilitar la administración de red remota mediante el envío de paquetes de difusión a hosts en una subred especificada sin difusión a toda la red. Los paquetes de difusión dirigida por IP se difunden solo en la subred de destino. El resto de la red trata los paquetes de difusión dirigidos por IP como paquetes de unidifusión y reenvía los paquetes en consecuencia.
La difusión dirigida se configura con varias opciones en la interfaz de salida del enrutador o conmutador, y los paquetes IP se difunden solo en la interfaz de LAN (salida). La difusión dirigida le ayuda a implementar tareas de administración remota, como copias de seguridad y LAN de activación (WOL) en una interfaz de LAN, y admite instancias de VRF.
Los paquetes IP de difusión L3 normales que se originan en una subred se difunden dentro de la misma subred. Cuando estos paquetes IP llegan a una subred diferente, los paquetes se reenvían al motor de enrutamiento (para ser reenviados a otras aplicaciones). Por lo tanto, las tareas de administración remota, como las copias de seguridad, no se pueden realizar en una subred determinada a través de otra subred. Como solución alternativa, puede habilitar la difusión dirigida para reenviar paquetes de difusión que se originan en una subred diferente.
Los paquetes IP de difusión L3 tienen una dirección IP de destino que es una dirección de difusión válida para la subred de destino. Estos paquetes IP atraviesan la red de la misma manera que los paquetes IP de unidifusión hasta que llegan a la subred de destino, como se indica a continuación:
- En la subred de destino, si el enrutador receptor tiene habilitada la difusión de destino en la interfaz de salida, los paquetes IP se reenvían a una interfaz de salida y al motor de enrutamiento o solo a una interfaz de salida.
- Luego, los paquetes IP se traducen en paquetes IP de difusión, que inundan la subred de destino solo a través de la interfaz LAN, y todos los hosts en la subred de destino reciben los paquetes IP. Los paquetes se descartan si no existe ninguna interfaz LAN.
- El paso final de la secuencia depende de la difusión dirigida:
- Si la difusión dirigida no está habilitada en el enrutador receptor, los paquetes IP se tratan como paquetes IP de difusión de capa 3 normales y se reenvían al motor de enrutamiento.
- Si la difusión dirigida está habilitada sin ninguna opción, los paquetes IP se reenvían al motor de enrutamiento.
Puede configurar la difusión dirigida para reenviar los paquetes IP solo a una interfaz de salida. El reenvío es útil cuando el enrutador está inundado de paquetes para procesar o tanto para una interfaz de salida como para el motor de enrutamiento.
Ningún filtro de firewall configurado en el motor de enrutamiento lo0 no se puede aplicar a los paquetes IP que se reenvían al motor de enrutamiento como resultado de una difusión dirigida. La razón es que los paquetes de difusión se reenvían como tráfico de próximo salto de inundación y no como tráfico de próximo salto local. Puede aplicar un filtro de firewall solo a las rutas locales de próximo salto para el tráfico dirigido hacia el motor de enrutamiento.
- Implementación de difusión dirigida
- Cuándo habilitar la difusión dirigida
- Cuándo no habilitar la difusión dirigida
Implementación de difusión dirigida
La difusión dirigida se configura por subred habilitando la difusión dirigida en la interfaz L3 de la VLAN de la subred. Cuando el conmutador que está conectado a esa subred recibe un paquete que tiene la dirección IP de difusión de la subred como dirección de destino, el conmutador difunde el paquete a todos los hosts de la subred.
De forma predeterminada, la difusión dirigida está deshabilitada.
Cuándo habilitar la difusión dirigida
La difusión dirigida está deshabilitada de forma predeterminada. Habilite la difusión dirigida cuando desee realizar servicios de administración o gestión remotos, como copias de seguridad o tareas de WOL, en hosts de una subred que no tenga conexión directa a Internet.
La habilitación de la difusión dirigida en una subred solo afecta a los hosts de esa subred. Solo los paquetes recibidos en la interfaz L3 de la subred que tengan la dirección IP de difusión de la subred como dirección de destino se inundan en la subred.
Cuándo no habilitar la difusión dirigida
Normalmente, no se habilita la difusión dirigida en subredes que tienen conexiones directas a Internet. La desactivación de la difusión dirigida en la interfaz L3 de una subred solo afecta a esa subred. Si deshabilita la difusión dirigida en una subred y un paquete que tiene la dirección IP de difusión de esa subred llega al conmutador, el conmutador descarta el paquete de difusión.
Si una subred tiene una conexión directa a Internet, habilitar la difusión dirigida en ella aumenta la susceptibilidad de la red a los ataques de DS.
Un atacante malintencionado puede suplantar una dirección IP de origen para engañar a una red y hacerle identificar al atacante como legítimo. Luego, el atacante puede enviar difusiones dirigidas con paquetes de eco ICMP (ping). Cuando los hosts en la red con la difusión dirigida habilitada reciben los paquetes de eco ICMP, los hosts envían respuestas a la víctima que tiene la dirección IP de origen falsificada. Las respuestas crean una avalancha de respuestas ping en un ataque DS que puede abrumar la dirección de origen falsificada conocida como ataque smurf . Otro ataque DS común en redes expuestas con difusión dirigida habilitada es un ataque fraggle . El ataque es similar a un ataque smurf, excepto que el paquete malicioso es un paquete de eco UDP en lugar de un paquete de eco ICMP.
Configurar difusión dirigida
Configurar difusión dirigida
Puede configurar la difusión dirigida en una interfaz de salida con diferentes opciones.
Cualquiera de estas configuraciones es aceptable:
-
Puede permitir que los paquetes de difusión IP destinados a una dirección L3 se reenvíen a través de la interfaz de salida y enviar una copia de los paquetes de difusión IP al motor de enrutamiento.
-
Puede permitir que los paquetes de difusión IP se reenvíen solo a través de la interfaz de salida.
Tenga en cuenta que los paquetes solo se difunden si la interfaz de salida es una interfaz LAN.
Para configurar la difusión dirigida y sus opciones:
Mostrar opciones de configuración de difusión dirigida
En los temas de ejemplo siguientes se muestran las opciones de configuración de difusión dirigidas:
- Reenvíe paquetes de difusión IP en la interfaz de salida y al motor de enrutamiento
- Reenvíe los paquetes de difusión IP solo en la interfaz de salida
Reenvíe paquetes de difusión IP en la interfaz de salida y al motor de enrutamiento
Propósito
Muestra la configuración cuando se configura la difusión dirigida en la interfaz de salida para reenviar los paquetes de difusión IP en la interfaz de salida y enviar una copia de los mismos paquetes al motor de enrutamiento.
Acción
Para mostrar la configuración, ejecute el show comando en el [edit interfaces interface-name unit interface-unit-number family inet] donde el nombre de la interfaz es ge-2/0/0, el valor de la unidad se establece en 0 y la familia de protocolos se establece en inet.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
Para mostrar la configuración de IRB, ejecute el show comando en el .[edit interfaces irb unit interface-unit-number family inet]
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
Reenvíe los paquetes de difusión IP solo en la interfaz de salida
Propósito
Muestra la configuración cuando la difusión dirigida está configurada en la interfaz de salida para reenviar los paquetes de difusión IP solo en la interfaz de salida.
Acción
Para mostrar la configuración, ejecute el show comando en el [edit interfaces interface-name unit interface-unit-number family inet] donde el nombre de la interfaz es ge-2/0/0, el valor de la unidad se establece en 0 y la familia de protocolos se establece en inet.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
Para mostrar la configuración, ejecute el show comando en el nivel .[edit interfaces irb unit interface-unit-number family inet]
[edit interfaces irb unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
Configuración de difusión dirigida (procedimiento de la CLI)
Antes de empezar a configurar la difusión dirigida:
Asegúrese de que la subred en la que desea paquetes de difusión que utilicen la difusión directa IP no esté conectada directamente a Internet.
Configure una interfaz de VLAN enrutada (RVI) para la subred que se habilitará para la difusión directa IP. Consulte Configuración de interfaces VLAN enrutadas en conmutadores (procedimiento de la CLI).
Recomendamos no habilitar la difusión dirigida en subredes que tengan una conexión directa a Internet debido a una mayor exposición a ataques de DS.
Esta tarea utiliza Junos OS para conmutadores de la serie EX que no admite el estilo de configuración ELS. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Puede usar la difusión dirigida en un conmutador serie EX Conmutadores para facilitar la administración remota de red mediante el envío de paquetes de difusión a hosts en una subred especificada sin difundir a toda la red. Los paquetes de difusión dirigidos se difunden solo en la subred de destino. El resto de la red trata los paquetes de difusión de destino como paquetes de unidifusión y reenvía los paquetes en consecuencia.
Para habilitar la difusión dirigida para una subred especificada:
Ejemplo: Configurar difusión dirigida en un conmutador
La difusión dirigida proporciona un método para enviar paquetes de difusión a hosts en una subred especificada sin difundir esos paquetes a hosts en toda la red.
En este ejemplo, se muestra cómo habilitar una subred para recibir paquetes de difusión de destino para que pueda realizar copias de seguridad y otras tareas de administración de red de forma remota:
Requisitos
En este ejemplo, se utilizan los siguientes componentes de software y hardware:
Versión 9.4 o posterior de Junos OS para conmutadores de la serie EX o versión 15.1X53-D10 de Junos OS para conmutadores QFX10000.
Una PC
Un conmutador de la serie EX o QFX10000
Antes de configurar la difusión dirigida para una subred:
Asegúrese de que la subred no tenga una conexión directa a Internet.
Configure interfaces VLAN enrutadas (RVI) para las VLAN de entrada y salida en el conmutador. Para no ELS, consulte Configuración de interfaces VLAN enturadas en conmutadores (procedimiento de la CLI) o Configuración de VLAN para conmutadores de la serie EX (procedimiento J-Web). Para ELS, consulte interfaz l3.
Descripción general y topología
Es posible que desee realizar tareas de administración remota, como copias de seguridad y tareas de aplicación WOL, para administrar grupos de clientes en una subred. Una forma de realizar las tareas de administración es enviar paquetes de difusión dirigidos a los hosts de una subred de destino determinada.
La red reenvía paquetes de difusión de destino como si fueran paquetes de unidifusión. Cuando el paquete de difusión de destino es recibido por una VLAN habilitada para targeted-broadcast, el conmutador difunde el paquete a todos los hosts de su subred.
En esta topología (consulte la Figura 1), un host está conectado a una interfaz en un conmutador para administrar los clientes en la subred 10.1.2.1/24. Cuando el conmutador recibe un paquete con la dirección IP de difusión de la subred de destino como dirección de destino, reenvía el paquete a la interfaz de capa 3 de la subred y lo difunde a todos los hosts de la subred.
dirigida
Topología
En la tabla 1 se muestra la configuración de los componentes de este ejemplo.
| Propiedad | Configuración |
|---|---|
Nombre de VLAN de entrada |
|
Dirección IP de VLAN de entrada |
|
Nombre de VLAN de salida |
|
Dirección IP de VLAN de salida |
|
Interfaces en VLAN |
|
Interfaces en VLAN |
|
Verificar el estado de la difusión dirigida
Propósito
Compruebe que la difusión dirigida dirigida esté habilitada y que esté funcionando en la subred.
Acción
Utilice el show vlans extensive comando para comprobar que la difusión dirigida está habilitada y funciona en la subred.
Verificar el estado de la difusión dirigida
Propósito
Compruebe que la difusión dirigida dirigida esté habilitada y que esté funcionando en la subred.
Acción
Utilice el show vlans extensive comando para comprobar que la difusión dirigida está habilitada y funciona en la subred.