EN ESTA PÁGINA
Difusión dirigida
La difusión dirigida ayuda en tareas de administración remota, como copias de seguridad y LAN de reactivación (WOL) en una interfaz LAN, y admite instancias de enrutamiento y reenvío virtual (VRF). En el siguiente tema se analiza el proceso y el funcionamiento de la difusión dirigida, los detalles de su configuración y el estado de la difusión en varias plataformas.
Descripción de la difusión dirigida
La difusión dirigida es un proceso de inundar una subred de destino con paquetes IP de difusión de capa 3 que se originan en una subred diferente. La intención de la difusión dirigida es inundar la subred de destino con los paquetes de difusión en una interfaz LAN sin difundir a toda la red. La difusión dirigida se configura con varias opciones en la interfaz de salida del enrutador o conmutador, y los paquetes IP se transmiten solo en la interfaz LAN (salida). La difusión dirigida lo ayuda a implementar tareas de administración remota, como copias de seguridad y LAN de activación (WOL) en una interfaz LAN, y admite instancias de enrutamiento y reenvío virtual (VRF).
Los paquetes IP de difusión normales de capa 3 que se originan en una subred se difunden dentro de la misma subred. Cuando estos paquetes IP llegan a una subred diferente, se reenvían al motor de enrutamiento (para reenviarse a otras aplicaciones). Debido a esto, las tareas de administración remota, como las copias de seguridad, no se pueden realizar en una subred determinada a través de otra subred. Como solución alternativa, puede habilitar la difusión dirigida para reenviar paquetes de difusión que se originen en una subred diferente.
Los paquetes IP de difusión de capa 3 tienen una dirección IP de destino que es una dirección de difusión válida para la subred de destino. Estos paquetes IP atraviesan la red de la misma manera que los paquetes IP de unidifusión hasta que llegan a la subred de destino, de la siguiente manera:
- En la subred de destino, si el enrutador receptor tiene habilitada la difusión de destino en la interfaz de salida, los paquetes IP se reenvían a una interfaz de salida y al motor de enrutamiento o solo a una interfaz de salida.
- Luego, los paquetes IP se traducen a paquetes IP de difusión, que inundan la subred de destino solo a través de la interfaz LAN, y todos los hosts de la subred de destino reciben los paquetes IP. Los paquetes se descartan Si no existe ninguna interfaz LAN,
- El paso final de la secuencia depende de la difusión dirigida:
- Si la difusión dirigida no está habilitada en el enrutador receptor, los paquetes IP se tratan como paquetes IP de difusión de capa 3 normales y se reenvían al motor de enrutamiento.
- Si la difusión de destino está habilitada sin opciones, los paquetes IP se reenvían al motor de enrutamiento.
Puede configurar la difusión dirigida para reenviar los paquetes IP solo a una interfaz de salida. Esto es útil cuando el enrutador se inunda de paquetes para procesar, o tanto a una interfaz de salida como al motor de enrutamiento.
La difusión dirigida no funciona cuando la opción de difusión dirigida y la opción forward-and-send-to-re sampling de toma de muestras de tráfico están configuradas en la misma interfaz de salida de un enrutador M320, un enrutador T640 o un enrutador MX960. Para superar este obstáculo, debe deshabilitar una de estas opciones o habilitar la opción con la sampling opción forward-only de difusión dirigida en la interfaz de salida. Para obtener más información acerca del muestreo de tráfico, consulte Configuración de muestras de tráfico.
Ningún filtro de firewall configurado en la interfaz de circuito cerrado del motor de enrutamiento (lo0) no se puede aplicar a los paquetes IP que se reenvían al motor de enrutamiento como resultado de una difusión dirigida. Esto se debe a que los paquetes de difusión se reenvían como tráfico inundado del próximo salto y no como tráfico local del siguiente salto, y puede aplicar un filtro de firewall solo a las rutas locales del próximo salto para el tráfico dirigido al motor de enrutamiento.
Ver también
Descripción de la difusión dirigida por IP
La difusión dirigida por IP le ayuda a implementar tareas de administración remota, como copias de seguridad y tareas de aplicación de activación en LAN (WOL) mediante el envío de paquetes de difusión dirigidos a los hosts en una subred de destino especificada. Los paquetes de difusión dirigida por IP atraviesan la red de la misma manera que los paquetes IP de unidifusión hasta que llegan a la subred de destino. Cuando llegan a la subred de destino y la difusión dirigida por IP está habilitada en el conmutador receptor, el conmutador traduce (explota) el paquete de difusión dirigido por IP en una difusión que inunda el paquete en la subred de destino. Todos los hosts de la subred de destino reciben el paquete de difusión ip dirigida.
En este tema se tratan los siguientes temas:
- Descripción general de la difusión dirigida por IP
- Implementación de la difusión dirigida por IP
- Cuándo habilitar la difusión dirigida por IP
- Cuándo no habilitar la difusión dirigida por IP
Descripción general de la difusión dirigida por IP
Los paquetes de difusión ip dirigida tienen una dirección IP de destino que es una dirección de difusión válida para la subred que es el destino de la difusión dirigida (la subred de destino). La intención de una difusión dirigida por IP es inundar la subred de destino con los paquetes de difusión sin transmitir a toda la red. Los paquetes de difusión ip dirigida no se pueden originar en la subred de destino.
Cuando se envía un paquete de difusión dirigida por IP, a medida que viaja a la subred de destino, la red lo reenvía de la misma manera que reenvía un paquete de unidifusión. Cuando el paquete llega a un conmutador que está conectado directamente a la subred de destino, el conmutador comprueba si la difusión dirigida por IP está habilitada en la interfaz que está conectada directamente a la subred de destino:
Si la difusión IP dirigida está habilitada en esa interfaz, el conmutador transmite el paquete en esa subred reescribiendo la dirección IP de destino como la dirección IP de difusión configurada para la subred. El conmutador convierte el paquete en un paquete de difusión de capa de vínculo que procesa cada host de la red.
Si la difusión dirigida por IP está deshabilitada en la interfaz que está conectada directamente a la subred de destino, el conmutador deja caer el paquete.
Implementación de la difusión dirigida por IP
Puede configurar la difusión dirigida de IP por subred mediante la habilitación de la difusión dirigida por IP en la interfaz de capa 3 de la VLAN de la subred. Cuando el conmutador que está conectado a esa subred recibe un paquete que tiene la dirección IP de difusión de la subred como dirección de destino, el conmutador transmite el paquete a todos los hosts de la subred.
De forma predeterminada, la difusión ip dirigida está deshabilitada.
Cuándo habilitar la difusión dirigida por IP
La difusión dirigida por IP está deshabilitada de forma predeterminada. Habilite la difusión dirigida por IP cuando desee realizar servicios de administración o administración remotos, como copias de seguridad o tareas de WOL en hosts en una subred que no tenga una conexión directa a Internet.
La habilitación de la difusión dirigida por IP en una subred solo afecta a los hosts de esa subred. Solo los paquetes recibidos en la interfaz de capa 3 de la subred que tengan la dirección IP de difusión de la subred a medida que la dirección de destino se inundan en la subred.
Cuándo no habilitar la difusión dirigida por IP
Por lo general, no habilita la difusión dirigida por IP en subredes que tengan conexiones directas a Internet. Deshabilitar la difusión dirigida por IP en la interfaz de capa 3 de una subred afecta solo a esa subred. Si deshabilita la difusión ip dirigida en una subred y un paquete que tiene la dirección IP de difusión de esa subred llega al conmutador, el conmutador deja caer el paquete de difusión.
Si una subred tiene una conexión directa a Internet, habilitar la difusión ip dirigida en ella aumenta la susceptibilidad de la red a los ataques de denegación de servicio (DoS).
Por ejemplo, un atacante malicioso puede suplantar una dirección IP de origen (usar una dirección IP de origen que no sea la fuente real de la transmisión para engañar a una red y identificar al atacante como una fuente legítima) y enviar transmisiones ip dirigidas que contengan paquetes de eco (ping) del Protocolo de mensaje de control de Internet (ICMP). Cuando los hosts de la red con difusión ip dirigida habilitada reciben los paquetes de eco ICMP, todos envían respuestas a la víctima que tiene la dirección IP de origen falsificada. Esto crea una avalancha de respuestas de ping en un ataque DoS que puede sobrecargar la dirección de origen falsificada; esto se conoce como ataque de pitufo . Otro ataque DoS común en redes expuestas con difusión dirigida ip habilitada es un ataque fraggle , que es similar a un ataque de pitufos, excepto que el paquete malicioso es un paquete de eco del Protocolo de datagramas de usuario (UDP) en lugar de un paquete de eco ICMP.
Ver también
Configurar la difusión dirigida
En las siguientes secciones se explica cómo configurar la difusión dirigida en una interfaz de salida y sus opciones:
- Configurar la difusión dirigida y sus opciones
- Mostrar opciones de configuración de difusión dirigida
Configurar la difusión dirigida y sus opciones
Puede configurar la difusión dirigida en una interfaz de salida con diferentes opciones.
Cualquiera de estas configuraciones es aceptable:
-
Puede permitir que los paquetes IP destinados a una dirección de difusión de capa 3 se reenvíen en la interfaz de salida y que envíen una copia de los paquetes IP al motor de enrutamiento.
-
Puede permitir que los paquetes IP se reenvíen solo en la interfaz de salida.
Tenga en cuenta que los paquetes solo se transmiten si la interfaz de salida es una interfaz LAN.
Para configurar la difusión dirigida y sus opciones:
La difusión dirigida no funciona cuando la opción de difusión dirigida y la opción forward-and-send-to-re sampling de toma de muestras de tráfico están configuradas en la misma interfaz de salida de un enrutador M320, un enrutador T640 o un enrutador MX960. Para superar este obstáculo, debe deshabilitar una de estas opciones o habilitar la opción con la sampling opción forward-only de difusión dirigida en la interfaz de salida. Para obtener más información acerca del muestreo de tráfico, consulte Configuración de muestras de tráfico.
Mostrar opciones de configuración de difusión dirigida
En los temas de ejemplo siguientes se muestran las opciones de configuración de difusión dirigidas:
- Ejemplo: Reenvíe paquetes IP en la interfaz de salida y a las tapas de títulos del motor de enrutamiento (preposiciones en minúscula)
- Ejemplo: Solo paquetes IP de reenvío en la interfaz de salida
Ejemplo: Reenvíe paquetes IP en la interfaz de salida y al motor de enrutamiento
Propósito
Muestra la configuración cuando se configura la difusión dirigida en la interfaz de salida para reenviar los paquetes IP en la interfaz de salida y enviar una copia de los paquetes IP al motor de enrutamiento.
Acción
Para mostrar la configuración, ejecute el show comando en el lugar en el [edit interfaces interface-name unit interface-unit-number family inet] que el nombre de la interfaz es ge-2/0/0, el valor unitario se establece en 0 y la familia de protocolo se establece en inet.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-and-send-to-re;
}
Ejemplo: Solo paquetes IP de reenvío en la interfaz de salida
Propósito
Muestra la configuración cuando se configura la difusión de destino en la interfaz de salida para reenviar los paquetes IP solo en la interfaz de salida.
Acción
Para mostrar la configuración, ejecute el show comando en el lugar en el [edit interfaces interface-name unit interface-unit-number family inet] que el nombre de la interfaz es ge-2/0/0, el valor unitario se establece en 0 y la familia de protocolo se establece en inet.
[edit interfaces interface-name unit interface-unit-number family inet]
user@host#show
targeted-broadcast {
forward-only;
}
Configuración de la difusión dirigida por IP (procedimiento de CLI)
Antes de comenzar a configurar la difusión dirigida por IP:
Asegúrese de que la subred en la que desea que los paquetes de difusión usen la difusión directa de IP no esté directamente conectada a Internet.
Configure una interfaz VLAN enrutada (RVI) para la subred que se habilitará para la difusión directa de IP. Consulte Configuración de interfaces VLAN enrutadas en conmutadores (procedimiento de CLI).
Recomendamos que no habilite la difusión dirigida por IP en subredes que tengan una conexión directa a Internet debido a una mayor exposición a ataques de denegación de servicio (DoS).
Esta tarea usa Junos OS para conmutadores de la serie EX que no admiten el estilo de configuración Enhanced Layer 2 Software (ELS). Para obtener detalles de ELS, consulte Uso de la CLI de Enhanced Layer 2 Software.
Puede usar la difusión dirigida por IP en un conmutador de la serie EX para facilitar la administración de red remota mediante el envío de paquetes de difusión a hosts en una subred especificada sin difusión a toda la red. Los paquetes de difusión ip dirigida se transmiten solo en la subred de destino. El resto de la red trata los paquetes de difusión dirigidos por IP como paquetes de unidifusión y los reenvía en consecuencia.
Para habilitar la difusión dirigida por IP para una subred especificada:
Ver también
Ejemplo: Configurar la difusión dirigida por IP en un conmutador
La difusión dirigida por IP proporciona un método para enviar paquetes de difusión a hosts en una subred especificada sin transmitir esos paquetes a hosts de toda la red.
En este ejemplo, se muestra cómo habilitar una subred para recibir paquetes de difusión dirigida por IP para que pueda realizar copias de seguridad y otras tareas de administración de red de forma remota:
- Requisitos
- Descripción general y topología
- Configuración de la difusión dirigida por IP para conmutadores que no son ELS
- Configuración de la difusión dirigida por IP para conmutadores compatibles con ELS
Requisitos
En este ejemplo, se usan los siguientes componentes de software y hardware:
Junos OS versión 9.4 o posterior para conmutadores serie EX o Junos OS versión 15.1X53-D10 para conmutadores QFX10000.
Una PC
Un conmutador de la serie EX o QFX10000
Antes de configurar la difusión dirigida por IP para una subred:
Asegúrese de que la subred no tenga una conexión directa a Internet.
Configure interfaces VLAN enrutadas (RVI) para las VLAN de entrada y salida en el conmutador. Para personas que no son ELS, consulte Configuración de interfaces VLAN enrutadas en conmutadores (procedimiento de CLI) o Configuración de VLAN para conmutadores de la serie EX (procedimiento de J-Web). Para ELS, consulte interfaz l3.
Descripción general y topología
Es posible que desee realizar tareas de administración remota, como copias de seguridad y tareas de aplicación de activación en LAN (WOL) para administrar grupos de clientes en una subred. Una forma de hacerlo es enviar paquetes de difusión ip dirigidas a los hosts de una subred de destino determinada.
La red reenvía paquetes de difusión ip dirigida como si fueran paquetes de unidifusión. Cuando el paquete de difusión ip dirigida es recibido por una VLAN habilitada para targeted-broadcast, el conmutador transmite el paquete a todos los hosts de su subred.
En esta topología (consulte la figura 1), un host se conecta a una interfaz en un conmutador para administrar los clientes en la subred 10.1.2.1/24. Cuando el conmutador recibe un paquete con la dirección IP de difusión de la subred de destino como dirección de destino, reenvía el paquete a la interfaz de capa 3 de la subred y lo transmite a todos los hosts de la subred.
dirigida por IP
Topología
La tabla 1 muestra la configuración de los componentes en este ejemplo.
| Configuración de la | propiedad |
|---|---|
Nombre de VLAN de entrada |
|
Dirección IP de VLAN de entrada |
|
Nombre de VLAN de salida |
|
Dirección IP de VLAN de salida |
|
Interfaces en VLAN |
|
Interfaces en VLAN |
|
Configuración de la difusión dirigida por IP para conmutadores que no son ELS
Para configurar la difusión dirigida por IP en una subred para habilitar la administración remota de sus hosts:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente el conmutador para aceptar transmisiones dirigidas por IP dirigidas a la subred 10.1.2.1/24, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set interfaces ge-0/0/0.0 family ethernet-switching vlan members v1
set interfaces ge-0/0/1.0 family ethernet-switching vlan members v1
set interfaces vlan.1 family inet address 10.1.2.1/24
set interfaces ge-0/0/3.0 family ethernet-switching vlan members v0
set interfaces vlan.0 family inet address 10.1.1.1/24
set vlans v1 l3-interface vlan.1
set vlans v0 l3-interface vlan.0
set interfaces vlan.1 family inet targeted-broadcast
Procedimiento paso a paso
Para configurar el conmutador para que acepte transmisiones dirigidas por IP dirigidas a la subred 10.1.2.1/24:
Agregar interfaz
ge-0/0/0.0lógica a VLANv1:[edit interfaces] user@switch# set ge-0/0/0.0 family ethernet-switching vlan members v1
Agregar interfaz
ge-0/0/1.0lógica a VLANv1:[edit interfaces] user@switch# set ge-0/0/1.0 family ethernet-switching vlan members v1
Configure la dirección IP para la VLAN de salida,
v1:[edit interfaces] user@switch# set vlan.1 family inet address 10.1.2.1/24
Agregar interfaz
ge-0/0/3.0lógica a VLANv0:[edit interfaces] user@switch# set ge-0/0/3.0 family ethernet-switching vlan members v0
Configure la dirección IP para la VLAN de entrada:
[edit interfaces] user@switch# set vlan.0 family inet address 10.1.1.1/24
Para enrutar el tráfico entre las VLAN de entrada y salida, asocie una interfaz de capa 3 con cada VLAN:
[edit vlans] user@switch# set v1 l3-interface vlan.1 user@switch# set v0 l3–interface vlan.0
Habilite la interfaz de capa 3 para que la VLAN de salida reciba transmisiones dirigidas por IP:
[edit interfaces] user@switch# set vlan.1 family inet targeted-broadcast user@switch# set vlan.0 family inet targeted-broadcast
Resultados
Consulte los resultados:
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members v0;
}
}
}
}
vlan {
unit 0 {
family inet {
targeted-broadcast;
address 10.1.1.1/24;
}
}
unit 1 {
family inet {
targeted-broadcast;
address 10.1.2.1/24;
}
}
}
vlans {
default;
v0 {
l3-interface vlan.0;
}
v1 {
l3-interface vlan.1;
}
}
Configuración de la difusión dirigida por IP para conmutadores compatibles con ELS
Para configurar la difusión dirigida por IP en una subred para habilitar la administración remota de sus hosts:
Procedimiento
Configuración rápida de CLI
Para configurar rápidamente el conmutador para aceptar transmisiones dirigidas por IP dirigidas a la subred 10.1.2.1/24, copie los siguientes comandos y péguelos en la ventana terminal del conmutador:
[edit]
set interfaces ge-0/0/0.0 family ethernet-switching vlan members v1
set interfaces ge-0/0/1.0 family ethernet-switching vlan members v1
set interfaces irb.1 family inet address 10.1.2.1/24
set interfaces ge-0/0/3.0 family ethernet-switching vlan members v0
set interfaces irb.0 family inet address 10.1.1.1/24
set vlans v1 l3-interface irb.1
set vlans v0 l3-interface irb.0
set interfaces irb.1 family inet targeted-broadcast
Procedimiento paso a paso
Para configurar el conmutador para que acepte transmisiones dirigidas por IP dirigidas a la subred 10.1.2.1/24:
Agregar interfaz
ge-0/0/0.0lógica a VLANv1:[edit interfaces] user@switch# set ge-0/0/0.0 family ethernet-switching vlan members v1
Agregar interfaz
ge-0/0/1.0lógica a VLANv1:[edit interfaces] user@switch# set ge-0/0/1.0 family ethernet-switching vlan members v1
Configure la dirección IP para la VLAN de salida,
v1:[edit interfaces] user@switch# set irb.1 family inet address 10.1.2.1/24
Agregar interfaz
ge-0/0/3.0lógica a VLANv0:[edit interfaces] user@switch# set ge-0/0/3.0 family ethernet-switching vlan members v0
Configure la dirección IP para la VLAN de entrada:
[edit interfaces] user@switch# set irb.0 family inet address 10.1.1.1/24
Para enrutar el tráfico entre las VLAN de entrada y salida, asocie una interfaz de capa 3 con cada VLAN:
[edit vlans] user@switch# set v1 l3-interface irb.1 user@switch# set v0 l3–interface irb.0
-
Habilite la interfaz de capa 3 para que la VLAN de salida reciba transmisiones dirigidas por IP:
[edit interfaces] user@switch# set irb.1 family inet targeted-broadcast user@switch# set irb.0 family inet targeted-broadcast
En los conmutadores serie QFX5000, serie EX4300 y serie EX4600, la cantidad máxima de difusión dirigida compatible es de 63.
Resultados
Consulte los resultados:
user@switch# show
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members v1;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members v0;
}
}
}
}
vlan {
unit 0 {
family inet {
targeted-broadcast;
address 10.1.1.1/24;
}
}
unit 1 {
family inet {
targeted-broadcast;
address 10.1.2.1/24;
}
}
}
vlans {
default;
v0 {
l3-interface irb.0;
}
v1 {
l3-interface irb.1;
}
}
Verificar el estado de la difusión dirigida por IP
Propósito
Verifique que la difusión dirigida por IP esté habilitada y que funcione en la subred.
Acción
Utilice el show vlans extensive comando para comprobar que la difusión ip dirigida está habilitada y que funciona en la subred como se muestra en el ejemplo: Configuración de la difusión ip dirigida en un conmutador.