NESTA PÁGINA
Entender o processamento de fluxo IPv6 em dispositivos de SRX5400, SRX5600 e SRX5800
Habilitando o processamento baseado em fluxo para tráfego IPv6
Processamento baseado em fluxo para tráfego IPv6 em dispositivos de segurança
Usando filtros para exibir informações de sessão e fluxo IPv6 para gateways de serviços da Série SRX
Processamento baseado em fluxo IPv6
Este tópico abrange informações sobre processamento de fluxo para tráfego IPv6 e sessões IPv6.
Fluxo avançado IPv6
O fluxo avançado IPv6 adiciona suporte IPv6 para firewall, NAT, NAT-PT, multicast (link local e trânsito), IPsec, IDP, framework JSF, Proxy TCP e gerente de sessão em firewalls da Série SRX. Os MIBs não são usados no fluxo IPv6.
Para evitar o impacto no ambiente IPv4 atual, a segurança IPv6 é usada. Se a segurança IPv6 estiver habilitada, sessões e portões estendidos serão alocados. Os campos de endereços e portões existentes são usados para armazenar o índice de sessões ou portões estendidos. Se a segurança IPv6 for desabilitada, os recursos relacionados à segurança IPv6 não serão alocados.
Novos logs são usados para tráfego de fluxo IPv6 para evitar impactos no desempenho no sistema IPv4 existente.
O comportamento e a implementação do fluxo avançado IPv6 são os mesmos do IPv4 na maioria dos casos.
As implementações de sessões, portões, ações ip, processamento de multithread, distribuição, bloqueio, sincronização, serialização, pedidos, enfileiramento de pacotes, mensagens assíncronas, problemas de tráfego IKE, verificação de sanidade e filas para IPv6 são semelhantes às implementações IPv4.
Algumas das diferenças são explicadas abaixo:
Header Parse O fluxo avançado IPv6 para de analisar os cabeçalhos e interpreta o pacote como o pacote de protocolo correspondente se encontrar os seguintes cabeçalhos de extensão:
TCP/UDP
ESP/AH
ICMPv6
O fluxo avançado IPv6 continua analisando cabeçalhos se encontrar os seguintes cabeçalhos de extensão:
Salto por salto
Roteamento e destino, fragmento
O fluxo avançado IPv6 interpreta os pacotes como um pacote de protocolo desconhecido se encontrar o cabeçalho No Next Header de extensão
Sanity Checks— O fluxo avançado IPv6 oferece suporte às seguintes verificações de sanidade:
Comprimento do TCP
Comprimento do UDP
Salto a salto
Erro de comprimento de dados IP
Verificações de sanidade de camada 3 (por exemplo, versão ip e comprimento de IP)
ICMPv6 Packets No fluxo avançado IPv6, os pacotes ICMPv6 compartilham o mesmo comportamento do tráfego IPv6 normal com as seguintes exceções:
Pacote ICMPv6 incorporado
Mensagem de MTU de caminho
Host Inbound and Outbound Traffic O fluxo avançado IPv6 oferece suporte a todos os protocolos de rota e gerenciamento em execução no Mecanismo de Roteamento (RE), incluindo OSPF v3, RIPng, Telnet e SSH. Observe que nenhum rótulo de fluxo é usado no fluxo.
Tunnel Traffic O fluxo avançado IPv6 oferece suporte aos seguintes tipos de túnel:
IPv4 IP-IP
IPv4 GRE
IPv4 IPsec
Lite dual-stack
Events and Logs Os logs a seguir são para tráfego de fluxo relacionado ao IPv6:
RT_FLOW_IPVX_SESSION_DENY
RT_FLOW_IPVX_SESSION_CREATE
RT_FLOW_IPVX_SESSION_CLOSE
Entendendo as sessões para o fluxo IPv6
Este tópico oferece uma visão geral das sessões baseadas em fluxo.
A maioria do processamento de pacotes ocorre no contexto de um fluxo, incluindo o gerenciamento de políticas, zonas e a maioria das telas. Uma sessão é criada para o primeiro pacote de um fluxo para as seguintes finalidades:
Armazenar a maioria das medidas de segurança a serem aplicadas aos pacotes do fluxo.
Para armazenar informações sobre o estado do fluxo. Por exemplo, o registro e a contagem de informações para um fluxo são armazenados em cache em sua sessão. (Além disso, algumas telas de firewall stateful dependem de valores limiares relativos a sessões individuais ou em todas as sessões.)
Alocar recursos necessários para recursos para o fluxo.
Para fornecer uma estrutura para recursos como gateways de camada de aplicativos (ALGs).
Entender o processamento de fluxo IPv6 em dispositivos de SRX5400, SRX5600 e SRX5800
Esse tópico apresenta a arquitetura para dispositivos de SRX5400, SRX5600 e SRX5800. O processamento de fluxo nesses dispositivos é semelhante ao dos firewalls da Série SRX.
Esses dispositivos incluem placas de E/S (IOCs) e placas de processamento de serviços (SPCs) que contêm unidades de processamento que processam um pacote enquanto ele atravessa o dispositivo. Essas unidades de processamento têm responsabilidades diferentes.
Uma unidade de processamento de rede (NPU) é operada em um IOC. Um IOC tem um ou mais NPUs. Um NPU processa pacotes de forma discreta e executa funções básicas de gerenciamento de fluxo.
Quando um pacote IPv6 chega a um IOC, o processo de fluxo de pacotes começa.
O NPU realiza as seguintes verificações de sanidade IPv6 para o pacote:
Para o cabeçalho básico do IPv6, ele executa as seguintes verificações de cabeçalho:
Versão. Ele verifica se o cabeçalho especifica O IPv6 para a versão.
Duração da carga. Ele verifica o comprimento da carga para garantir que o comprimento combinado do pacote IPv6 e do cabeçalho de Camada 2 seja mais curto que o comprimento do quadro de Camada 2.
Limite de salto. Ele verifica para garantir que o limite de salto não especifique 0 (zero).
Verificações de endereço. Ele verifica para garantir que o endereço IP de origem não especifique ::0 ou FF::00 e que o endereço IP de destino não especifique ::0 ou ::1.
O NPU realiza verificações de cabeçalho de extensão IPv6, incluindo o seguinte:
Opções de salto por salto. Ele verifica se este é o primeiro cabeçalho de extensão a seguir o cabeçalho básico IPv6.
Extensão de roteamento. Ele verifica se há apenas um cabeçalho de extensão de roteamento.
Opções de destino. Ele verifica que não estão incluídos mais do que duas opções de destino de cabeçalhos de extensão.
Fragmento. Ele verifica se há apenas um cabeçalho de fragmento.
Nota:O NPU trata qualquer outro cabeçalho de extensão como um cabeçalho de Camada 4.
O NPU realiza verificações de protocolo de Camada 4 TCP, UDP e ICMP6, incluindo:
UDP. Ele verifica para garantir que os pacotes de comprimento de carga de IP, que não sejam um pacote de primeiro fragmento, têm pelo menos 8 bytes de comprimento.
TCP. Ele verifica para garantir que os pacotes de comprimento de carga de IP, que não sejam um pacote de primeiro fragmento, têm pelo menos 20 bytes de comprimento.
ICMPv6. Ele verifica para garantir que os pacotes de comprimento de carga de IP, que não sejam um pacote de primeiro fragmento, têm pelo menos 8 bytes de comprimento.
Se o pacote especificar um TCP ou um protocolo UDP, a NPU cria um tuple a partir dos dados de cabeçalho de pacote usando as seguintes informações:
Endereço IP de origem
Endereço IP de destino
Porta de origem
Porta de destino
Protocolo
Identificador de roteador virtual (VRID)
O dispositivo olha para o VRID a partir de uma tabela VRID.
Para pacotes de protocolo de mensagem de controle de Internet versão 6 (ICMPv6), a tuple contém as mesmas informações usadas para o TCP e a chave de pesquisa UDP, exceto para os campos de porta de origem e destino. Os campos de porta de origem e destino são substituídos pelas seguintes informações extraídas do pacote ICMPv6:
Para pacotes de erro do ICMP: o padrão "0x00010001"
Para pacotes de informações do ICMP: O tipo, ou código, identificador de campo
Para pacotes com um cabeçalho de autenticação (AH) ou um cabeçalho de carga de segurança (ESP), a chave de pesquisa é a mesma usada para o TCP e o tuple UDP, exceto para os campos de porta de origem e destino. Neste caso, o valor de campo do índice de parâmetro de segurança (SPI) é usado em vez das portas de origem e destino. Para encapsular o cabeçalho do Security Payload (ESP) e o cabeçalho de autenticação (AH), antes de aprimoramentos na arquitetura de ponto cenral, ele é hashed pelo campo de 3 tuple e índice de parâmetro de segurança (SPI), após melhorias na arquitetura de ponto cenral que é hashed por um par de IP.
Se houver uma sessão para o fluxo do pacote, o NPU envia o pacote para a SPU que gerencia a sessão.
Se uma sessão correspondente não existir,
A NPU envia as informações do pacote para o ponto central, o que cria uma sessão pendente.
O ponto central seleciona uma SPU para processar o pacote e criar sessões para ele.
A SPU então envia mensagens de criação de sessão para o ponto central e o NPUs de entrada e saída, orientando-os a criar uma sessão para o fluxo de pacotes.
Um ponto central, que pode ser executado em uma SPU dedicada, ou compartilhar os recursos de um se houver apenas uma SPU. Um ponto central cuida da arbitragem e alocação de recursos, e distribui sessões de forma inteligente. O ponto central atribui uma SPU a ser usada para uma sessão específica quando a SPU processa o primeiro pacote de seu fluxo.
Para dispositivos de linha SRX5000, a arquitetura de ponto central é dividida em dois módulos — o ponto central do aplicativo e o ponto central distribuído (DCP). O App-CP é responsável pelo gerenciamento global de recursos e balanceamento de carregamento, enquanto o DCP é responsável pela identificação de tráfego (correspondência global da sessão). A funcionalidade App-CP é executado na SPU de ponto central dedicada, enquanto a funcionalidade DCP é distribuída para o resto das SPUs.
Uma ou mais SPUs que são executadas em uma placa de processamento de serviços (SPC). Todos os serviços baseados em fluxo para um pacote são executados em uma única SPU, dentro do contexto de uma sessão que é configurada para o fluxo de pacotes.
O SPC para dispositivos de linha SRX5000 tem duas SPUs.
Vários SPCs podem ser instalados em um chassi.
Principalmente, uma SPU executa as seguintes tarefas:
Ele gerencia a sessão e aplica recursos de segurança e outros serviços ao pacote.
Ele aplica filtros de firewall stateless baseados em pacotes, classificadores e shapers de tráfego.
Se uma sessão ainda não existir para um pacote, a SPU envia uma mensagem de solicitação à NPU que realizou a busca pela sessão do pacote, para direcioná-lo a adicionar uma sessão para ele.
Essas partes discretas e cooperativas do sistema armazenam as informações que identificam se existe uma sessão para um fluxo de pacotes e as informações contra as quais um pacote é combinado para determinar se ele pertence a uma sessão existente.
Habilitando o processamento baseado em fluxo para tráfego IPv6
Você tem as seguintes opções para lidar com o tráfego IPv6:
Drop — não encaminhe pacotes IPv6.
Encaminhamento baseado em pacotes — Não crie uma sessão e processe apenas de acordo com recursos baseados em pacotes (inclui filtros de firewall e classe de serviço).
Encaminhamento baseado em fluxo — Crie uma sessão e processe de acordo com recursos baseados em pacotes (incluindo filtros de firewall e classe de serviço), mas também recursos de segurança baseados em fluxo, como telas e políticas de segurança de firewall. Esse é o comportamento padrão.
Para permitir o processamento baseado em fluxo para tráfego IPv6, modifique a mode declaração no nível [edit security forwarding-options family inet6] de hierarquia:
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
O exemplo a seguir mostra os comandos CLI que você usa para configurar o encaminhamento para tráfego IPv6:
[edit]
user@host# set security forwarding-options family inet6 mode ?
Possible completions:
drop Disable forwarding
flow-based Enable flow-based forwarding
packet-based Enable packet-based forwarding
[edit]
user@host# set security forwarding-options family inet6 mode flow-based
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Se você mudar o modo de opção de encaminhamento para IPv6, você pode precisar realizar uma reinicialização para inicializar a mudança de configuração. A Tabela 1 resume o status do dispositivo após a mudança de configuração.
Mudança de configuração |
Aviso de confirmação |
Reinicialização necessária |
Impacto no tráfego existente antes da reinicialização |
Impacto no novo tráfego antes da reinicialização |
|---|---|---|---|---|
Deixe cair para a base de fluxo |
Sim |
Sim |
Deixou cair |
Deixou cair |
Deixe cair para a base de pacotes |
Não |
Não |
Baseado em pacotes |
Baseado em pacotes |
Baseado em fluxo para baseado em pacotes |
Sim |
Sim |
Nenhum |
Sessões de fluxo criadas |
Baseada em fluxo para soltar |
Sim |
Sim |
Nenhum |
Sessões de fluxo criadas |
Baseado em pacotes para base de fluxo |
Sim |
Sim |
Baseado em pacotes |
Baseado em pacotes |
Baseada em pacotes para soltar |
Não |
Não |
Deixou cair |
Deixou cair |
Processamento baseado em fluxo para tráfego IPv6 em dispositivos de segurança
O modo de processamento baseado em fluxo é necessário para que recursos de segurança, como zonas, telas e políticas de firewall funcionem. Por padrão, o firewall da Série SRX é habilitado para encaminhamento baseado em fluxo para tráfego IPv6 em todos os dispositivos, além da Série SRX300 e dispositivos SRX550M que estão definidos para o modo de queda. Começando com o Junos OS Release 15.1X49-D70 e o Junos OS Release 17.3R1 para a série SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 e dispositivos de firewall virtual vSRX, você não precisa reiniciar o dispositivo quando estiver comutando os modos entre o modo de fluxo, o modo de pacote e o modo de queda. Para dispositivos da Série SRX300 e SRX550M, você deve reiniciar o dispositivo ao alternar entre o modo de fluxo, o modo de pacote e o modo de queda.
SRX300 Series and the SRX550M Devices
Quando o IPv6 é configurado na Série SRX300 e nos dispositivos SRX550M, o comportamento padrão é definido para soltar o modo devido a restrições de memória. Nesse caso, você deve reiniciar o dispositivo depois de mudar o modo de processamento do padrão do modo de queda para o modo de processamento baseado em fluxo ou modo de processamento baseado em pacotes — ou seja, entre os modos nesses dispositivos.
Para processamento de modo de queda, o tráfego é desativado diretamente, não é encaminhado. Ela difere do processamento do modo de pacote para o qual o tráfego é tratado, mas nenhum processo de segurança é aplicado.
Para processar o tráfego IPv6 na Série SRX300 e nos dispositivos SRX550M, você precisa configurar endereços IPv6 para as interfaces de trânsito que recebem e encaminham o tráfego. Para obter informações sobre a família de protocolo inet6 e procedimentos para configurar endereços IPv6 para interfaces.
Configuring an SRX Series Device as a Border Router
Quando um firewall da Série SRX de qualquer tipo é habilitado para processamento baseado em fluxo ou modo de queda, para configurar o dispositivo como um roteador de borda, você deve alterar o modo para processamento baseado em pacotes para MPLS. Neste caso, para configurar o firewall da Série SRX ao modo de pacote para MPLS, use a set security forwarding-options family mpls mode packet-based declaração.
Como mencionado, para a Série SRX300 e os dispositivos SRX550M, sempre que você mudar os modos de processamento, você deve reiniciar o dispositivo.
Enabling Flow-Based Processing for IPv6 Traffic on SRX300 Series and SRX550M Devices
Para permitir o encaminhamento baseado em fluxo para tráfego IPv6 na Série SRX300 e nos dispositivos SRX550M, modifique o modo no nível [edit security forwarding-options family inet6] de hierarquia:
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
Para configurar o encaminhamento para tráfego IPv6 na Série SRX300 ou em um dispositivo SRX500M:
Para dispositivos da Série SRX300 e SRX500M, o dispositivo descarta pacotes de cabeçalho de roteamento tipo 0 IPv6 (RH0).
Usando filtros para exibir informações de sessão e fluxo IPv6 para gateways de serviços da Série SRX
Propósito
Você pode exibir informações de fluxo e sessão sobre uma ou mais sessões com o show security flow session comando. As sessões de IPv6 estão incluídas em estatísticas agregadas.
Você pode usar os seguintes filtros com o show security flow session comando: aplicativo, porta de destino, prefixo de destino, família, idp, interface, nat, protocolo, gerenciador de recursos, identificador de sessão, porta de origem, prefixo de origem e túnel.
Com exceção do filtro identificador de sessão, a saída de todos os outros filtros pode ser visualizada em modo breve, sumário e extenso. O modo breve é o modo padrão. A saída do filtro identificador de sessão só pode ser visualizada no modo breve.
Você pode usar as mesmas opções de filtro com o clear security flow session comando para encerrar as sessões.
Ação
Os exemplos a seguir mostram como usar filtros relacionados ao IPv6 para exibir resumos e detalhes para sessões IPv6.
Começando no Junos OS Release 15.1X49-D30 e Junos OS Release 17.3R1, muitos desses resumos de sessão incluem IDs de sessão de CP.
Relatório sumário filtrado baseado em família
root> show security flow session summary family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session summary family inet6 Flow Sessions on FPC10 PIC1: Valid sessions: 2 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 2 Flow Sessions on FPC10 PIC2: Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1 Flow Sessions on FPC10 PIC3: Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 1 Sessions in other states: 0 Total sessions: 1
Relatório detalhado filtrado baseado em família
root> show security flow session family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session family inet6 Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Session ID: 430000026, Policy name: default-policy-00/2, Timeout: 1794, Valid In: 2001:db8::10/64712 -> 2001:db8::4/21;tcp If: ge-7/1/0.0, Pkts: 8, Bytes: 562, CP Session ID: 430000025 Out: 2001:db8::4/21 --> 2001:db8::10/64712;tcp, If: ge-7/1/1.0, Pkts: 12, Bytes: 1014, CP Session ID: 430000025 Total sessions: 1
Relatório breve filtrado baseado em família
root> show security flow session family inet brief Flow Sessions on FPC10 PIC1: Session ID: 410000031, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/3 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000039 Out: 198.51.100.11/43053 --> 203.0.113.8/3;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 410000039 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000034, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/4 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000041 Out: 198.51.100.11/43053 --> 203.0.113.8/4;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000041 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000042, Policy name: default-policy-00/2, Timeout: 44, Valid In: 203.0.113.8/2 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000041 Out: 198.51.100.11/43053 --> 203.0.113.8/2;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000041 Total sessions: 1 2001:dbf8::6:2/32
Relatório detalhado filtrado baseado em um prefixo de origem IPv6
root> show security flow session source-prefix 2001:dbf8::
Flow Sessions on FPC10 PIC1:
Session ID: 410000066, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/3 > 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8:5::2/323;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Session ID: 410000068, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8::6:2/4;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Total sessions: 2
Flow Sessions on FPC10 PIC2:
Session ID: 420000067, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 420000080
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/4 ;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000080
Total sessions: 1
Flow Sessions on FPC10 PIC3:
Session ID: 430000077, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/3 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000075
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/3;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000075
Session ID: 430000078, Policy name: default-policy-00/2, Timeout: 30, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::3/6702, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000076
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/5;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000076
Session ID: 430000079, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::1/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Out: 2001:dbf8:5::1/7214 --> 2001:dbf8::6:2/5;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Total sessions: 3
Relatório detalhado com várias filtradas baseada em família, protocolo e prefixo de origem
root> show security flow session family inet protocol icmp source-prefix 2001:db8:: Flow Sessions on FPC10 PIC1: Session ID: 410000074, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/1 --> 2001:dbf8:8::2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Out: 2001:dbf8:8::2 --> 2001:dbf8::6:2/1;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000075, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/3 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/3;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000085, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/4 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/4;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Total sessions: 1
Limpar todas as sessões, incluindo sessões IPv6
root> clear security flow session all This command may terminate the current session too. Continue? [yes,no] (no) yes 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
Limpar apenas sessões IPv6
root> clear security flow session family ? Possible completions: inet Clear IPv4 sessions inet6 Clear IPv6/IPv6-NATPT sessions root> clear security flow session family inet6 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
Tabela de histórico de mudanças
O suporte de recursos é determinado pela plataforma e versão que você está usando. Use o Feature Explorer para determinar se um recurso é suportado em sua plataforma.