Difusión dirigida
La difusión dirigida ayuda en tareas de administración remota, como copias de seguridad y LAN de reactivación (WOL) en una interfaz LAN, y admite instancias de enrutamiento y reenvío virtual (VRF). En el tema siguiente se explica el proceso y el funcionamiento de la difusión dirigida, sus detalles de configuración y el estado de la difusión en varias plataformas.
Descripción de la difusión dirigida
La difusión dirigida es un proceso de inundación de una subred de destino con paquetes IP de difusión de capa 3 que se originan en una subred diferente. La intención de la difusión dirigida es inundar la subred de destino con los paquetes de difusión en una interfaz LAN sin difundir a toda la red. La difusión dirigida se configura con varias opciones en la interfaz de salida del enrutador o conmutador, y los paquetes IP se difunden únicamente en la interfaz LAN (salida). La difusión dirigida le ayuda a implementar tareas de administración remota, como copias de seguridad y LAN de reactivación (WOL) en una interfaz LAN, y admite instancias de enrutamiento y reenvío virtual (VRF).
Los paquetes IP de difusión regular de capa 3 que se originan en una subred se difunden dentro de la misma subred. Cuando estos paquetes IP llegan a una subred diferente, se reenvían al motor de enrutamiento (para reenviarlos a otras aplicaciones). Debido a esto, las tareas de administración remota, como las copias de seguridad, no se pueden realizar en una subred determinada a través de otra subred. Como solución alternativa, puede habilitar la difusión dirigida para reenviar paquetes de difusión que se originan en una subred diferente.
Los paquetes IP de difusión de capa 3 tienen una dirección IP de destino que es una dirección de difusión válida para la subred de destino. Estos paquetes IP atraviesan la red de la misma manera que los paquetes IP de unidifusión hasta que llegan a la subred de destino, como se indica a continuación:
- En la subred de destino, si el enrutador receptor tiene habilitada la difusión de destino en la interfaz de salida, los paquetes IP se reenvían a una interfaz de salida y al motor de enrutamiento, o solo a una interfaz de salida.
- A continuación, los paquetes IP se traducen en paquetes IP de difusión, que inundan la subred de destino sólo a través de la interfaz LAN, y todos los hosts de la subred de destino reciben los paquetes IP. Los paquetes se descartan si no existe ninguna interfaz LAN.
- El paso final de la secuencia depende de la difusión dirigida:
- Si la difusión dirigida no está habilitada en el enrutador receptor, los paquetes IP se tratan como paquetes IP de difusión normales de capa 3 y se reenvían al motor de enrutamiento.
- Si la difusión dirigida está habilitada sin ninguna opción, los paquetes IP se reenvían al motor de enrutamiento.
Puede configurar la difusión dirigida para reenviar los paquetes IP sólo a una interfaz de salida. Esto resulta útil cuando el enrutador está inundado de paquetes para procesar, o tanto a una interfaz de salida como al motor de enrutamiento.
Cualquier filtro de firewall configurado en la interfaz de circuito cerrado del motor de enrutamiento (lo0) no se puede aplicar a los paquetes IP que se reenvían al motor de enrutamiento como resultado de una difusión de destino. Esto se debe a que los paquetes de difusión se reenvían como tráfico de inundación del próximo salto y no como tráfico local del próximo salto, y puede aplicar un filtro de firewall solo a las rutas locales del próximo salto para el tráfico dirigido hacia el motor de enrutamiento.
Descripción de la difusión dirigida por IP
La difusión dirigida por IP le ayuda a implementar tareas de administración remota, como copias de seguridad y tareas de aplicación de reactivación en LAN (WOL) mediante el envío de paquetes de difusión dirigidos a los hosts de una subred de destino especificada. Los paquetes de difusión dirigida por IP atraviesan la red de la misma manera que los paquetes IP de unidifusión hasta que llegan a la subred de destino. Cuando llegan a la subred de destino y la difusión dirigida por IP está habilitada en el conmutador receptor, este traduce (explota) el paquete de difusión dirigida por IP en una difusión que inunda el paquete en la subred de destino. Todos los hosts de la subred de destino reciben el paquete de difusión dirigida por IP.
En este tema se trata:
- Descripción general de la difusión dirigida por IP
- Implementación de radiodifusión dirigida por IP
- Cuándo habilitar la difusión dirigida por IP
- Cuándo no habilitar la difusión dirigida por IP
Descripción general de la difusión dirigida por IP
Los paquetes de difusión dirigida IP tienen una dirección IP de destino que es una dirección de difusión válida para la subred que es el destino de la difusión dirigida (la subred de destino). La intención de una difusión dirigida por IP es inundar la subred de destino con los paquetes de difusión sin difundir a toda la red. Los paquetes de difusión dirigida por IP no pueden originarse en la subred de destino.
Cuando se envía un paquete de difusión dirigida por IP, a medida que viaja a la subred de destino, la red lo reenvía de la misma manera que reenvía un paquete de unidifusión. Cuando el paquete llega a un conmutador que está conectado directamente a la subred de destino, el conmutador comprueba si la difusión dirigida por IP está habilitada en la interfaz que está directamente conectada a la subred de destino:
Si la difusión dirigida por IP está habilitada en esa interfaz, el conmutador difunde el paquete en esa subred reescribiendo la dirección IP de destino como la dirección IP de difusión configurada para la subred. El conmutador convierte el paquete en un paquete de difusión de capa de vínculo que procesa cada host de la red.
Si la difusión dirigida por IP está deshabilitada en la interfaz que está conectada directamente a la subred de destino, el conmutador descarta el paquete.
Implementación de radiodifusión dirigida por IP
La difusión dirigida por IP se configura por subred habilitando la difusión dirigida por IP en la interfaz de capa 3 de la VLAN de la subred. Cuando el conmutador que está conectado a esa subred recibe un paquete que tiene la dirección IP de difusión de la subred como dirección de destino, el conmutador difunde el paquete a todos los hosts de la subred.
De forma predeterminada, la difusión dirigida por IP está deshabilitada.
Cuándo habilitar la difusión dirigida por IP
La difusión dirigida a IP está deshabilitada de forma predeterminada. Habilite la difusión dirigida por IP cuando desee realizar servicios de administración o administración remotos, como copias de seguridad o tareas WOL en hosts de una subred que no tenga conexión directa a Internet.
La habilitación de la difusión dirigida por IP en una subred solo afecta a los hosts dentro de esa subred. Solo los paquetes recibidos en la interfaz de capa 3 de la subred que tienen la dirección IP de difusión de la subred como dirección de destino se inundan en la subred.
Cuándo no habilitar la difusión dirigida por IP
Normalmente, no habilita la difusión dirigida por IP en subredes que tienen conexiones directas a Internet. La desactivación de la difusión dirigida por IP en la interfaz de capa 3 de una subred solo afecta a esa subred. Si deshabilita la difusión dirigida por IP en una subred y un paquete que tiene la dirección IP de difusión de esa subred llega al conmutador, el conmutador descarta el paquete de difusión.
Si una subred tiene una conexión directa a Internet, habilitar la difusión dirigida por IP en ella aumenta la susceptibilidad de la red a ataques de denegación de servicio (DoS).
Por ejemplo, un atacante malintencionado puede suplantar una dirección IP de origen (usar una dirección IP de origen que no sea la fuente real de la transmisión para engañar a una red y hacerla para que identifique al atacante como fuente legítima) y enviar difusiones dirigidas por IP que contengan paquetes de eco (ping) del Protocolo de mensajes de control de Internet (ICMP). Cuando los hosts de la red con difusión dirigida a IP habilitada reciben los paquetes de eco ICMP, todos envían respuestas a la víctima que tiene la dirección IP de origen falsificada. Esto crea una avalancha de respuestas de ping en un ataque DoS que puede abrumar la dirección de origen falsificada; Esto se conoce como ataque pitufo . Otro ataque DoS común en redes expuestas con difusión dirigida IP habilitada es un ataque fraggle , que es similar a un ataque pitufo, excepto que el paquete malicioso es un paquete de eco de protocolo de datagramas de usuario (UDP) en lugar de un paquete de eco ICMP.
Configurar difusión dirigida
En las secciones siguientes se explica cómo configurar la difusión dirigida en una interfaz de salida y sus opciones:
- Configurar la difusión dirigida y sus opciones
- Opciones de configuración de difusión dirigida a mostrar
Configurar la difusión dirigida y sus opciones
Puede configurar la difusión dirigida en una interfaz de salida con diferentes opciones.
Cualquiera de estas configuraciones es aceptable:
-
Puede permitir que los paquetes IP destinados a una dirección de difusión de capa 3 se reenvíen en la interfaz de salida y enviar una copia de los paquetes IP al motor de enrutamiento.
-
Puede permitir que los paquetes IP se reenvíen únicamente en la interfaz de salida.
Tenga en cuenta que los paquetes se difunden sólo si la interfaz de salida es una interfaz LAN.
Para configurar la difusión dirigida y sus opciones:
Los dispositivos SRX no admiten la opción forward-and-send-to-rede difusión dirigida.
Opciones de configuración de difusión dirigida a mostrar
Los siguientes temas de ejemplo muestran las opciones de configuración de difusión dirigida:
- Ejemplo: reenviar paquetes IP en la interfaz de salida y al motor de enrutamiento
- Ejemplo: reenviar paquetes IP solo en la interfaz de salida
Ejemplo: reenviar paquetes IP en la interfaz de salida y al motor de enrutamiento
Propósito
Muestre la configuración cuando se configura la difusión de destino en la interfaz de salida para reenviar los paquetes IP en la interfaz de salida y para enviar una copia de los paquetes IP al motor de enrutamiento.
Acción
Para mostrar la configuración, ejecute el comando en donde [edit interfaces interface-name unit interface-unit-number family inet] el nombre de la interfaz es ge-2/0/0, el show valor unitario se establece en 0 y la familia de protocolos se establece en inet.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
Ejemplo: reenviar paquetes IP solo en la interfaz de salida
Propósito
Muestre la configuración cuando se configura la difusión dirigida en la interfaz de salida para reenviar los paquetes IP solo en la interfaz de salida.
Acción
Para mostrar la configuración, ejecute el comando en donde [edit interfaces interface-name unit interface-unit-number family inet] el nombre de la interfaz es ge-2/0/0, el show valor unitario se establece en 0 y la familia de protocolos se establece en inet.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
Configuración de la difusión dirigida por IP (procedimiento de la CLI)
Antes de comenzar a configurar la difusión dirigida por IP:
Asegúrese de que la subred en la que desea difundir paquetes mediante difusión directa IP no esté conectada directamente a Internet.
Configure una interfaz VLAN enrutada (RVI) para la subred que se habilitará para la difusión directa de IP. Consulte Configuración de interfaces VLAN enrutadas en conmutadores (procedimiento de CLI).
Se recomienda no habilitar la difusión dirigida por IP en subredes que tengan una conexión directa a Internet debido a una mayor exposición a ataques de denegación de servicio (DoS).
Esta tarea utiliza Junos OS para conmutadores serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Puede utilizar la difusión dirigida por IP en un conmutador de la serie EX para facilitar la administración remota de la red mediante el envío de paquetes de difusión a hosts de una subred especificada sin difusión a toda la red. Los paquetes de difusión dirigida por IP se difunden únicamente en la subred de destino. El resto de la red trata los paquetes de difusión dirigidos por IP como paquetes de unidifusión y los reenvía en consecuencia.
Para habilitar la difusión dirigida por IP para una subred especificada:
Ver también
Ejemplo: configuración de difusión dirigida por IP en un conmutador
La difusión dirigida por IP proporciona un método para enviar paquetes de difusión a hosts en una subred especificada sin difundir esos paquetes a hosts de toda la red.
En este ejemplo se muestra cómo habilitar una subred para recibir paquetes de difusión dirigidos por IP para que pueda realizar copias de seguridad y otras tareas de administración de red de forma remota:
- Requisitos
- Descripción general y topología
- Configuración de la difusión dirigida por IP para conmutadores que no son ELS
- Configuración de la difusión dirigida por IP para conmutadores compatibles con ELS
Requisitos
En este ejemplo se utilizan los siguientes componentes de software y hardware:
Junos OS versión 9.4 o posterior para conmutadores serie EX o Junos OS versión 15.1X53-D10 para conmutadores QFX10000.
Un PC
Un conmutador serie EX o un conmutador QFX10000
Antes de configurar la difusión dirigida por IP para una subred:
Asegúrese de que la subred no tiene una conexión directa a Internet.
Configure interfaces VLAN enrutadas (RVI) para las VLAN de entrada y salida del conmutador. Para usuarios que no sean ELS, consulte Configuración de interfaces VLAN enrutadas en conmutadores (procedimiento de CLI) o Configuración de VLAN para conmutadores de la serie EX (procedimiento J-Web). Para ELS, consulte interfaz l3.
Descripción general y topología
Es posible que desee realizar tareas de administración remota, como copias de seguridad y tareas de aplicación de reactivación en LAN (WOL) para administrar grupos de clientes en una subred. Una forma de hacerlo es enviar paquetes de difusión dirigidos a IP dirigidos a los hosts de una subred de destino determinada.
La red reenvía paquetes de difusión dirigidos por IP como si fueran paquetes de unidifusión. Cuando el paquete de difusión dirigida por IP es recibido por una VLAN habilitada para targeted-broadcast, el conmutador difunde el paquete a todos los hosts de su subred.
En esta topología (consulte la figura 1), un host está conectado a una interfaz en un conmutador para administrar los clientes en la subred 10.1.2.1/24. Cuando el conmutador recibe un paquete con la dirección IP de difusión de la subred de destino como dirección de destino, reenvía el paquete a la interfaz de capa 3 de la subred y lo transmite a todos los hosts dentro de la subred.
dirigida por IP
Topología
En la tabla 1 se muestra la configuración de los componentes de este ejemplo.
| Configuración de la propiedad | |
|---|---|
Nombre de VLAN de entrada |
|
Dirección IP de VLAN de entrada |
|
Nombre de VLAN de salida |
|
Dirección IP de VLAN de salida |
|
Interfaces en VLAN |
|
Interfaces en VLAN |
|
Configuración de la difusión dirigida por IP para conmutadores que no son ELS
Para configurar la difusión dirigida por IP en una subred para habilitar la administración remota de sus hosts:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente el conmutador para que acepte difusiones dirigidas por IP dirigidas a la subred 10.1.2.1/24, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set interfaces ge-0/0/0.0 family ethernet-switching vlan members v1
set interfaces ge-0/0/1.0 family ethernet-switching vlan members v1
set interfaces vlan.1 family inet address 10.1.2.1/24
set interfaces ge-0/0/3.0 family ethernet-switching vlan members v0
set interfaces vlan.0 family inet address 10.1.1.1/24
set vlans v1 l3-interface vlan.1
set vlans v0 l3-interface vlan.0
set interfaces vlan.1 family inet targeted-broadcast
Procedimiento paso a paso
Para configurar el conmutador para que acepte difusiones dirigidas por IP dirigidas a la subred 10.1.2.1/24:
Agregar interfaz
ge-0/0/0.0lógica a VLANv1:[edit interfaces] user@switch# set ge-0/0/0.0 family ethernet-switching vlan members v1
Agregar interfaz
ge-0/0/1.0lógica a VLANv1:[edit interfaces] user@switch# set ge-0/0/1.0 family ethernet-switching vlan members v1
Configure la dirección IP para la VLAN de salida,
v1:[edit interfaces] user@switch# set vlan.1 family inet address 10.1.2.1/24
Agregar interfaz
ge-0/0/3.0lógica a VLANv0:[edit interfaces] user@switch# set ge-0/0/3.0 family ethernet-switching vlan members v0
Configure la dirección IP para la VLAN de entrada:
[edit interfaces] user@switch# set vlan.0 family inet address 10.1.1.1/24
Para enrutar el tráfico entre las VLAN de entrada y salida, asocie una interfaz de capa 3 con cada VLAN:
[edit vlans] user@switch# set v1 l3-interface vlan.1 user@switch# set v0 l3–interface vlan.0
Habilite la interfaz de capa 3 para que la VLAN de salida reciba difusiones dirigidas por IP:
[edit interfaces] user@switch# set vlan.1 family inet targeted-broadcast user@switch# set vlan.0 family inet targeted-broadcast
Resultados
Consulta los resultados:
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members v0;
}
}
}
}
vlan {
unit 0 {
family inet {
targeted-broadcast;
address 10.1.1.1/24;
}
}
unit 1 {
family inet {
targeted-broadcast;
address 10.1.2.1/24;
}
}
}
vlans {
default;
v0 {
l3-interface vlan.0;
}
v1 {
l3-interface vlan.1;
}
}
Configuración de la difusión dirigida por IP para conmutadores compatibles con ELS
Para configurar la difusión dirigida por IP en una subred para habilitar la administración remota de sus hosts:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente el conmutador para que acepte difusiones dirigidas por IP dirigidas a la subred 10.1.2.1/24, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set interfaces ge-0/0/0.0 family ethernet-switching vlan members v1
set interfaces ge-0/0/1.0 family ethernet-switching vlan members v1
set interfaces irb.1 family inet address 10.1.2.1/24
set interfaces ge-0/0/3.0 family ethernet-switching vlan members v0
set interfaces irb.0 family inet address 10.1.1.1/24
set vlans v1 l3-interface irb.1
set vlans v0 l3-interface irb.0
set interfaces irb.1 family inet targeted-broadcast
Procedimiento paso a paso
Para configurar el conmutador para que acepte difusiones dirigidas por IP dirigidas a la subred 10.1.2.1/24:
Agregar interfaz
ge-0/0/0.0lógica a VLANv1:[edit interfaces] user@switch# set ge-0/0/0.0 family ethernet-switching vlan members v1
Agregar interfaz
ge-0/0/1.0lógica a VLANv1:[edit interfaces] user@switch# set ge-0/0/1.0 family ethernet-switching vlan members v1
Configure la dirección IP para la VLAN de salida,
v1:[edit interfaces] user@switch# set irb.1 family inet address 10.1.2.1/24
Agregar interfaz
ge-0/0/3.0lógica a VLANv0:[edit interfaces] user@switch# set ge-0/0/3.0 family ethernet-switching vlan members v0
Configure la dirección IP para la VLAN de entrada:
[edit interfaces] user@switch# set irb.0 family inet address 10.1.1.1/24
Para enrutar el tráfico entre las VLAN de entrada y salida, asocie una interfaz de capa 3 con cada VLAN:
[edit vlans] user@switch# set v1 l3-interface irb.1 user@switch# set v0 l3–interface irb.0
-
Habilite la interfaz de capa 3 para que la VLAN de salida reciba difusiones dirigidas por IP:
[edit interfaces] user@switch# set irb.1 family inet targeted-broadcast user@switch# set irb.0 family inet targeted-broadcast
En los conmutadores serie QFX5000, EX4300 y EX4600, el número máximo de transmisiones dirigidas admitidas es 63.
Resultados
Consulta los resultados:
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members v0;
}
}
}
}
vlan {
unit 0 {
family inet {
targeted-broadcast;
address 10.1.1.1/24;
}
}
unit 1 {
family inet {
targeted-broadcast;
address 10.1.2.1/24;
}
}
}
vlans {
default;
v0 {
l3-interface irb.0;
}
v1 {
l3-interface irb.1;
}
}
Verificación del estado de la difusión dirigida por IP
Propósito
Compruebe que la difusión dirigida por IP esté habilitada y funcione en la subred.
Acción
Utilice el comando para comprobar que la show vlans extensive difusión dirigida por IP está habilitada y funciona en la subred, como se muestra en Ejemplo: configuración de la difusión dirigida por IP en un conmutador.