Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
EN ESTA PÁGINA
 

Difusión dirigida

Obtenga información sobre la difusión dirigida y cómo configurar la difusión dirigida.

La difusión dirigida ayuda en tareas de administración remota, como copias de seguridad y LAN de reactivación (WOL) en una interfaz LAN, y admite instancias de enrutamiento y reenvío virtual (VRF). En el tema siguiente se explica el proceso y el funcionamiento de la difusión dirigida, sus detalles de configuración y el estado de la difusión en varias plataformas.

Visión general

La difusión dirigida es un proceso de inundación de una subred de destino con paquetes IP de difusión L3 que se originan en una subred diferente. La intención de la difusión dirigida es inundar la subred de destino con los paquetes de difusión en una interfaz LAN sin difundir a toda la red.

La difusión dirigida se configura con varias opciones en la interfaz de salida del enrutador o conmutador, y los paquetes IP se difunden únicamente en la interfaz LAN (salida). La difusión dirigida le ayuda a implementar tareas de administración remota, como copias de seguridad y LAN de reactivación (WOL) en una interfaz LAN, y admite instancias de VRF.

Los paquetes IP de difusión L3 normales que se originan en una subred se difunden dentro de la misma subred. Cuando estos paquetes IP llegan a una subred diferente, los paquetes se reenvían al motor de enrutamiento (para reenviarlos a otras aplicaciones). Por lo tanto, las tareas de administración remota, como las copias de seguridad, no se pueden realizar en una subred determinada a través de otra subred. Como solución alternativa, puede habilitar la difusión dirigida para reenviar paquetes de difusión que se originan en una subred diferente.

Los paquetes IP de difusión L3 tienen una dirección IP de destino que es una dirección de difusión válida para la subred de destino. Estos paquetes IP atraviesan la red de la misma manera que los paquetes IP de unidifusión hasta que los paquetes llegan a la subred de destino, como se indica a continuación:

  1. En la subred de destino, si el enrutador receptor tiene habilitada la difusión de destino en la interfaz de salida, los paquetes IP se reenvían a una interfaz de salida y al motor de enrutamiento, o solo a una interfaz de salida.
  2. A continuación, los paquetes IP se traducen en paquetes IP de difusión, que inundan la subred de destino sólo a través de la interfaz LAN, y todos los hosts de la subred de destino reciben los paquetes IP. Los paquetes se descartan si no existe ninguna interfaz LAN.
  3. El paso final de la secuencia depende de la difusión dirigida:
    • Si la difusión dirigida no está habilitada en el enrutador receptor, los paquetes IP se tratan como paquetes IP de difusión normales de capa 3 y se reenvían al motor de enrutamiento.
    • Si la difusión dirigida está habilitada sin ninguna opción, los paquetes IP se reenvían al motor de enrutamiento.

Puede configurar la difusión dirigida para reenviar los paquetes IP sólo a una interfaz de salida. El reenvío es útil cuando el enrutador está inundado de paquetes para procesar, o tanto a una interfaz de salida como al motor de enrutamiento.

Cualquier filtro de firewall configurado en el motor de enrutamiento lo0 no se puede aplicar a los paquetes IP que se reenvían al motor de enrutamiento como resultado de una difusión de destino. La razón es que los paquetes de difusión se reenvían como tráfico de inundación del próximo salto y no como tráfico local del próximo salto. Puede aplicar un filtro de firewall solo a las rutas locales del próximo salto para el tráfico dirigido hacia el motor de enrutamiento.

Comprender la difusión dirigida

Cuando los paquetes llegan a la subred de destino y la difusión de destino está habilitada en el conmutador receptor, el conmutador convierte el paquete de difusión de destino en una difusión. La conversión inunda el paquete en la subred de destino. Todos los hosts de la subred de destino reciben el paquete de difusión de destino.

En este tema se trata:

Descripción general de la difusión dirigida

Los paquetes de difusión de destino tienen una dirección IP de destino que es una dirección de difusión válida para la subred de destino de la difusión dirigida (la subred de destino). La intención de una difusión dirigida es inundar la subred de destino con los paquetes de difusión sin difundir a toda la red. Los paquetes de difusión de destino no pueden originarse en la subred de destino.

Cuando se envía un paquete de difusión de destino, a medida que viaja a la subred de destino, la red lo reenvía de la misma manera que reenvía un paquete de unidifusión. Cuando el paquete llega a un conmutador que está conectado directamente a la subred de destino, el conmutador comprueba si la difusión dirigida está habilitada en la interfaz que está conectada directamente a la subred de destino:

  • Si la difusión dirigida está habilitada en esa interfaz, el conmutador difunde el paquete en esa subred reescribiendo la dirección IP de destino como la dirección IP de difusión configurada para la subred. El conmutador convierte el paquete en un paquete de difusión de capa de vínculo que procesa cada host de la red.

  • Si la difusión dirigida está deshabilitada en la interfaz que está conectada directamente a la subred de destino, el conmutador descarta el paquete.

Implementación de radiodifusión dirigida

La difusión dirigida se configura por subred habilitando la difusión dirigida en la interfaz L3 de la VLAN de la subred. Cuando el conmutador que está conectado a esa subred recibe un paquete que tiene la dirección IP de difusión de la subred como dirección de destino, el conmutador difunde el paquete a todos los hosts de la subred.

De forma predeterminada, la difusión dirigida está deshabilitada.

Cuándo habilitar la difusión dirigida

La difusión dirigida está deshabilitada de forma predeterminada. Habilite la difusión dirigida cuando desee realizar servicios de administración o administración remotos, como copias de seguridad o tareas WOL en hosts de una subred que no tenga conexión directa a Internet.

La habilitación de la difusión dirigida en una subred solo afecta a los hosts dentro de esa subred. Solo los paquetes recibidos en la interfaz L3 de la subred que tengan la dirección IP de difusión de la subred, ya que la dirección de destino se inunda en la subred.

Cuándo no habilitar la difusión dirigida

Normalmente, no se habilita la difusión dirigida en subredes que tienen conexiones directas a Internet. La desactivación de la difusión dirigida en la interfaz L3 de una subred solo afecta a esa subred. Si deshabilita la difusión dirigida en una subred y un paquete que tiene la dirección IP de difusión de esa subred llega al conmutador, el conmutador descarta el paquete de difusión.

Si una subred tiene una conexión directa a Internet, habilitar la difusión dirigida en ella aumenta la susceptibilidad de la red a los ataques DoS.

Un atacante malintencionado puede suplantar una dirección IP de origen para engañar a una red para que identifique al atacante como legítimo. El atacante puede enviar difusiones dirigidas con paquetes de eco (ping) ICMP. Cuando los hosts de la red con difusión dirigida habilitada reciben los paquetes de eco ICMP, los hosts envían respuestas a la víctima que tiene la dirección IP de origen falsificada. Las respuestas crean una avalancha de respuestas de ping en un ataque DoS que puede abrumar la dirección de origen falsificada conocida como ataque pitufo . Otro ataque DoS común en redes expuestas con difusión dirigida habilitada es un ataque fraggle . El ataque es similar a un ataque pitufo, excepto que el paquete malicioso es un paquete de eco UDP en lugar de un paquete de eco ICMP.

Configurar difusión dirigida

Configurar difusión dirigida

Puede configurar la difusión dirigida en una interfaz de salida con diferentes opciones.

Cualquiera de estas configuraciones es aceptable:

  • Puede permitir que los paquetes de difusión IP destinados a una dirección de capa 3 se reenvíen a través de la interfaz de salida y enviar una copia de los paquetes de difusión IP al motor de enrutamiento.

  • Puede permitir que los paquetes de difusión IP se reenvíen únicamente a través de la interfaz de salida.

Tenga en cuenta que los paquetes se difunden sólo si la interfaz de salida es una interfaz LAN.

Para configurar la difusión dirigida y sus opciones:

  1. Configure la interfaz.

    o

  2. Configure el número de unidad lógica en el nivel jerárquico[edit interfaces interface-name.
  3. Configure la familia de protocolos como inet en el nivel jerárquico[edit interfaces interface-name unit interface-unit-number.
  4. Configure la difusión dirigida en el nivel jerárquico[edit interfaces interface-name unit interface-unit-number family inet.
  5. Reenvíe paquetes de difusión IP a una dirección de capa 3:
    1. a través de la interfaz de salida y enviar una copia de los mismos paquetes al motor de enrutamiento.

      o

    2. solo a través de la interfaz de salida.

Opciones de configuración de difusión dirigida a mostrar

Los siguientes temas de ejemplo muestran las opciones de configuración de difusión dirigida:

Reenviar paquetes de difusión IP en la interfaz de salida y al motor de enrutamiento

Propósito

Mostrar la configuración cuando se configura la difusión de destino en la interfaz de salida para reenviar los paquetes de difusión IP en la interfaz de salida y para enviar una copia de los mismos paquetes al motor de enrutamiento.

Acción

Para mostrar la configuración, ejecute el show comando en donde [edit interfaces interface-name unit interface-unit-number family inet] el nombre de la interfaz es ge-2/0/0, el valor unitario se establece en 0 y la familia de protocolos se establece en inet.

Para mostrar la configuración de irb, ejecute el comando en el show [edit interfaces irb unit interface-unit-number family inet].

Reenviar paquetes de difusión IP solo en la interfaz de salida

Propósito

Muestre la configuración cuando se configura la difusión de destino en la interfaz de salida para reenviar los paquetes de difusión IP solo en la interfaz de salida.

Acción

Para mostrar la configuración, ejecute el show comando en donde [edit interfaces interface-name unit interface-unit-number family inet] el nombre de la interfaz es ge-2/0/0, el valor unitario se establece en 0 y la familia de protocolos se establece en inet.

Para mostrar la configuración, ejecute el comando en el show [edit interfaces irb unit interface-unit-number family inet].

Configurar difusión dirigida (procedimiento de la CLI)

Antes de empezar a configurar la difusión dirigida:

Se recomienda no habilitar la difusión dirigida en subredes que tengan una conexión directa a Internet debido a una mayor exposición a ataques DoS.

Esta tarea utiliza Junos OS para conmutadores serie EX que no admiten el estilo de configuración ELS. Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.

Puede utilizar la difusión dirigida en un conmutador de conmutadores de la serie EX para facilitar la administración remota de la red mediante el envío de paquetes de difusión a hosts de una subred especificada sin difusión a toda la red. Los paquetes de difusión de destino se difunden únicamente en la subred de destino. El resto de la red trata los paquetes de difusión dirigidos como paquetes de unidifusión y reenvía los paquetes en consecuencia.

Para habilitar la difusión dirigida para una subred especificada:

  1. Agregue las interfaces lógicas de la subred de destino a la VLAN:
  2. Configure la interfaz L3 en la VLAN de destino de los paquetes de difusión de destino:
  3. Asocie una interfaz L3 con la VLAN:
  4. Habilite la interfaz L3 para que la VLAN reciba difusiones dirigidas:

Ejemplo: configurar difusión dirigida en un conmutador

La difusión dirigida proporciona un método para enviar paquetes de difusión a hosts de una subred especificada sin difundir esos paquetes a hosts de toda la red.

En este ejemplo se muestra cómo habilitar una subred para recibir paquetes de difusión de destino para que pueda realizar copias de seguridad y otras tareas de administración de red de forma remota:

Requisitos

En este ejemplo se utilizan los siguientes componentes de software y hardware:

  • Junos OS versión 9.4 o posterior para conmutadores serie EX o Junos OS versión 15.1X53-D10 para conmutadores QFX10000.

  • Un PC

  • Un conmutador serie EX o un conmutador QFX10000

Antes de configurar la difusión dirigida para una subred:

Descripción general y topología

Es posible que desee realizar tareas de administración remota, como copias de seguridad y tareas de aplicación WOL para administrar grupos de clientes en una subred. Una forma de realizar las tareas de administración es enviar paquetes de difusión dirigidos a los hosts de una subred de destino determinada.

La red reenvía paquetes de difusión específicos como si fueran paquetes de unidifusión. Cuando el paquete de difusión de destino es recibido por una VLAN habilitada para targeted-broadcast, el conmutador difunde el paquete a todos los hosts de su subred.

En esta topología (consulte la figura 1), un host está conectado a una interfaz en un conmutador para administrar los clientes en la subred 10.1.2.1/24. Cuando el conmutador recibe un paquete con la dirección IP de difusión de la subred de destino como dirección de destino, reenvía el paquete a la interfaz de capa 3 de la subred y lo transmite a todos los hosts dentro de la subred.

Figura 1: Topología para difusión Topology for Targeted Broadcast dirigida

Topología

En la tabla 1 se muestra la configuración de los componentes de este ejemplo.

Tabla 1: Componentes de la topología de difusión dirigida
Configuración de la propiedad

Nombre de VLAN de entrada

v0

Dirección IP de VLAN de entrada

10.1.1.1/24

Nombre de VLAN de salida

v1

Dirección IP de VLAN de salida

10.1.2.1/24

Interfaces en VLAN v0

ge-0/0/3.0

Interfaces en VLAN v1

ge-0/0/0.0 y ge-0/0/1.0

Ver también

Verificación del estado de la difusión dirigida por IP

Propósito

Compruebe que la difusión dirigida por IP esté habilitada y funcione en la subred.

Acción

Utilice el comando para comprobar que la show vlans extensive difusión dirigida por IP está habilitada y funciona en la subred, como se muestra en Ejemplo: configuración de la difusión dirigida por IP en un conmutador.