Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Encaminhamento baseado em pacotes

Um dispositivo SRX opera em dois modos diferentes: modo de pacote e modo de fluxo. No modo de fluxo, o SRX processa todo o tráfego analisando o estado ou a sessão do tráfego. Isso também é chamado de processamento stateful do tráfego. No modo pacote, o SRX processa o tráfego por pacote. Isso também é conhecido como processamento stateless de tráfego.

Entender o processamento baseado em pacotes

Pacotes que entram e saem de um dispositivo da Juniper Networks que executa o Junos OS podem passar por processamento baseado em pacotes. O processamento de pacotes baseado em pacotes ou stateless trata pacotes de forma discreta. Cada pacote é avaliado individualmente para tratamento. O encaminhamento baseado em pacotes stateless é realizado em uma base de pacote por pacote, sem considerar as informações de fluxo ou estado. Cada pacote é avaliado individualmente para tratamento.

A Figura 1 mostra o fluxo de tráfego para o encaminhamento baseado em pacotes.

Figura 1: Fluxo de tráfego para encaminhamento baseado em pacotes Traffic Flow for Packet-Based Forwarding

À medida que os pacotes entram no dispositivo, classificadores, filtros e policiais são aplicados a ele. Em seguida, a interface de saída para o pacote é determinada por meio de uma busca de rotas. Assim que a interface de saída do pacote for encontrada, os filtros são aplicados e o pacote é enviado para a interface de saída, onde está enfileirado e programado para transmissão.

O encaminhamento baseado em pacotes não requer nenhuma informação sobre pacotes anteriores ou subsequentes que pertençam a uma determinada conexão, e qualquer decisão de permitir ou negar tráfego é específica do pacote. Essa arquitetura tem o benefício do dimensionamento massivo porque encaminha pacotes sem acompanhar fluxos ou estado individuais.

Começando pelo Junos OS Release 15.1X49-D100, para o SRX100, SRX110, SRX210, SRX220, SRX240, SRX300, SRX320, SRX340, SRX345, SRX550M e SRX650, o tamanho máximo de captura de pacotes é expandido para 1520 bytes para permitir capturas de 1500 bytes de dados e o cabeçalho Ethernet de 12 byte da Juniper."

Entender serviços seletivos baseados em pacotes sem estado

Serviços seletivos baseados em pacotes sem estado permitem que você use o encaminhamento baseado em fluxo e baseado em pacotes simultaneamente em um sistema. Você pode direcionar o tráfego seletivamente que requer encaminhamento stateless baseado em pacotes para evitar o encaminhamento stateful baseado em fluxo usando filtros de firewall stateless, também conhecidos como listas de controle de acesso (ACLs). O tráfego não tão direcionado segue o caminho padrão de encaminhamento baseado em fluxo. Contornar o encaminhamento baseado em fluxo pode ser útil para o tráfego para o qual você deseja explicitamente evitar restrições de escala de sessão de fluxo.

Por padrão, os dispositivos Juniper Networks Security que executam o Junos OS usam o encaminhamento baseado em fluxo. Serviços seletivos baseados em pacotes sem estado permitem que você configure o dispositivo para fornecer apenas processamento baseado em pacotes para tráfego selecionado com base em termos de filtro de entrada. Outro tráfego é processado para encaminhamento baseado em fluxo. Contornar o encaminhamento baseado em fluxo é útil para implantações em que você deseja evitar restrições de escala de sessão e custos de criação e manutenção de sessões.

Quando você configura o dispositivo para processamento seletivo baseado em pacotes sem estado, os pacotes que entram no sistema são tratados de maneira diferente, dependendo de determinadas condições:

  • Se um pacote satisfaz as condições de correspondência especificadas em termos de filtro de entrada, ele é marcado para o modo de pacote e todos os recursos de modo de pacote configurados são aplicados a ele. Não são aplicados recursos de segurança baseados em fluxo. Isso os ignora.

  • Se um pacote não tiver sido sinalizado para o modo de pacote, ele passa por processamento normal. Todos os serviços, exceto MPLS, podem ser aplicados a esse tráfego.

A Figura 2 mostra o fluxo de tráfego com serviços seletivos baseados em pacotes sem estado ignorando o processamento baseado em fluxo.

Figura 2: Fluxo de tráfego com serviços seletivos baseados em pacotes sem estado Traffic Flow with Selective Stateless Packet-Based Services

Quando o pacote entra em uma interface, os filtros de pacote de entrada configurados na interface são aplicados.

  • Se o pacote atender às condições especificadas no filtro de firewall, um modificador de packet-mode ação será definido no pacote. O modificador de ação em modo de pacote atualiza um campo de bits no buffer de chave de pacote — este campo de bits é usado para determinar se o encaminhamento baseado em fluxo precisa ser ignorado. Como resultado, o pacote com o modificador de ação do modo de pacote ignora completamente o encaminhamento baseado em fluxo. A interface de saída para o pacote é determinada por meio de uma busca de rotas. Assim que a interface de saída do pacote for encontrada, os filtros são aplicados e o pacote é enviado para a interface de saída, onde está enfileirado e programado para transmissão.

  • Se o pacote não corresponder às condições especificadas neste termo de filtro, ele será avaliado em relação a outros termos configurados no filtro. Se, após todos os termos serem avaliados, um pacote não corresponda a termos em um filtro, o pacote será descartado silenciosamente. Para evitar que os pacotes sejam descartados, você configura um termo no filtro especificando uma ação para aceitar todos os pacotes.

Um conjunto definido de serviços stateless está disponível com serviços seletivos baseados em pacotes stateless:

  • Roteamento IPv4 (protocolos unicast e multicast)

  • Classe de serviço (CoS)

  • Fragmentação e interleavamento de enlace (LFI)

  • Encapsulamento de roteamento genérico (GRE)

  • Comutação de Camada 2

  • Comutação de rótulos multiprotocol (MPLS)

  • Filtros de firewall stateless

  • Protocolo de transporte comprimido em tempo real (CRTP)

Embora o tráfego que exija serviços MPLS deve ser processado no modo pacote, em algumas circunstâncias pode ser necessário aplicar simultaneamente determinados serviços a esse tráfego que só podem ser fornecidos no modo de fluxo, como inspeção stateful, NAT e IPsec. Para direcionar o sistema a processar o tráfego em modos de fluxo e pacote, você deve configurar várias instâncias de roteamento conectadas por uma interface de túnel. Uma instância de roteamento deve ser configurada para processar os pacotes no modo de fluxo e a outra instância de roteamento deve ser configurada para processar os pacotes no modo pacote. Quando você usa uma interface de túnel para conectar instâncias de roteamento, o tráfego entre essas instâncias de roteamento é injetado novamente no caminho de encaminhamento e ele pode ser reprocessado usando um método de encaminhamento diferente.

Visão geral seletiva da configuração de serviços baseados em pacotes sem estado

Esse recurso tem suporte para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500 e vSRX. Você configura serviços seletivos baseados em pacotes stateless usando os filtros de firewall stateless, também conhecidos como listas de controle de acesso (ACLs). Você classifica o tráfego para encaminhamento baseado em pacotes especificando condições de correspondência nos filtros de firewall e configurando um packet-mode modificador de ação para especificar a ação. Assim que as condições e ações de correspondência são definidas, os filtros de firewall são aplicados a interfaces relevantes.

Para configurar um filtro de firewall:

  1. Defina a família de endereços — primeiro defina a família de endereços dos pacotes que um filtro de firewall combina. Para definir o nome da família, especifique para filtrar inet pacotes IPv4. Especifique mpls para filtrar pacotes MPLS. Especifique ccc para filtrar as conexões cruzadas de comutação de Camada 2.
  2. Definir termos — Definir um ou mais termos que especifiquem os critérios de filtragem e a ação a ser tomada caso ocorra uma correspondência. Cada termo consiste em dois componentes: condições e ações compatíveis.
    • Condições de correspondência — Especifique certas características que o pacote deve combinar para que a ação seja executada. Você pode definir várias condições de correspondência, como o campo de endereço de origem IP, o campo de endereço de destino IP e o campo de protocolo IP.

    • Ação — especifique o que deve ser feito com o pacote caso corresponda às condições de correspondência. As possíveis ações são aceitar, descartar ou rejeitar um pacote; ir para o próximo semestre; ou não agir.

      Você pode especificar apenas um action (ou omitê-lo) em um termo, mas você pode especificar qualquer combinação de modificadores de ação com ele. Os modificadores de ação incluem uma ação padrão accept . Por exemplo, se você especificar um modificador de ação e não especificar uma ação, o modificador de ação especificado é implementado e o pacote é aceito.

      O packet-mode modificador de ação especifica o tráfego para contornar o encaminhamento baseado em fluxo. Como outros modificadores de ação, você pode configurar o packet-mode modificador de ação junto com outras ações, como accept ou count.

  3. Aplique filtros de firewall em interfaces — Aplique o filtro de firewall na interface para que o filtro de firewall faça efeito.

Quando o pacote entra em uma interface, os filtros de pacote de entrada configurados na interface são aplicados. Se o pacote combinar com as condições especificadas e packet-mode a ação for configurada, o pacote ignora completamente o encaminhamento baseado em fluxo.

Ao configurar filtros, fique atento à ordem dos termos dentro do filtro de firewall. Os pacotes são testados em cada termo na ordem em que ele está listado na configuração. Quando as primeiras condições de correspondência são encontradas, a ação associada a esse termo é aplicada ao pacote e a avaliação do filtro de firewall termina, a menos que o next term modificador de ação seja incluído. Se a ação next term for incluída, o pacote de correspondência é então avaliado em relação ao próximo termo no filtro de firewall; caso contrário, o pacote de correspondência não é avaliado em relação aos termos subseqüentes no filtro de firewall.

Ao configurar filtros de firewall para serviços seletivos baseados em pacotes stateless:

  • Identifique o tráfego com precisão que precisa contornar o fluxo para evitar quedas desnecessárias de pacotes.

  • Certifique-se de aplicar o filtro de firewall com ação do modo pacote em todas as interfaces envolvidas no caminho de fluxo baseado em pacotes.

  • Certifique-se de configurar o tráfego TCP vinculado ao host para usar o encaminhamento baseado em fluxo — exclua esse tráfego ao especificar condições de correspondência para o termo de filtro de firewall que contém o packet-mode modificador de ação. Qualquer tráfego TCP vinculado ao host configurado para contornar o fluxo é descartado. O processamento do modo de fluxo assíncronos não é suportado com serviços seletivos baseados em pacotes stateless.

  • Configure filtros de pacote de entrada (não saída) com o packet-mode modificador de ação.

Nota:

Os filtros de firewall aninhados (configurando um filtro no prazo de outro filtro) não são suportados com serviços seletivos baseados em pacotes stateless.

Alguns cenários típicos de implantação em que você pode configurar serviços seletivos baseados em pacotes sem estado são os seguintes:

  • Fluxo de tráfego entre interfaces lan privadas e WAN, como para tráfego intranet, onde o encaminhamento de ponta a ponta é baseado em pacotes

  • Fluxo de tráfego entre lan privada e interfaces WAN não tão seguras, onde o tráfego usa o encaminhamento baseado em pacotes e baseado em fluxo para tráfego seguro e não tão seguro, respectivamente

  • Fluxo de tráfego entre a interface lan privada e WAN com failover para WAN IPsec baseada em fluxo quando o enlace WAN privado está desligado

  • Fluxo de tráfego da LAN baseada em fluxo para a WAN MPLS baseada em pacotes

Exemplo: configurar serviços seletivos baseados em pacotes sem estado para encaminhamento de ponta a ponta baseado em pacotes

Este exemplo mostra como configurar serviços seletivos baseados em pacotes sem estado para o encaminhamento de ponta a ponta baseado em pacotes. Esse recurso é suportado nos dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500 e vSRX

Requisitos

Antes de começar:

  • Entenda como configurar filtros de firewall stateless.

  • Estabeleça conectividade básica. .

Visão geral

Neste exemplo, você configura os endereços IP para as interfaces em cada um dos dispositivos. Para R0 é 10.1.1.2/24 ; para R1 são 10,1,1,1/24, 10,2,1,1/24 e 203,0.113,1/30; para R2 é 203.0.113.2/30; e para R3 é 10.2.1.2/24. Você cria rotas estáticas e associa endereços next-hop para os dispositivos da seguinte forma: R0 é 10.1.1.2, R1 é 198.51.100.2, R2 é 203.0.113.1, e R3 é 10.2.1.1.

Em seguida, no dispositivo R1 você configura uma zona chamada não confiável e atribuí-la à interface ge-0/0/3. Você também cria uma zona chamada confiança e atribui interfaces ge-0/0/1 e ge-0/0/2 a ela. Você configura zonas de confiança e não confiáveis para permitir que todos os serviços de aplicativos suportados como serviços de entrada. Você permite que o tráfego de qualquer endereço de origem, endereço de destino e aplicativo passe entre as zonas.

Em seguida, você cria o filtro de fluxo de desvio do filtro de firewall e define os termos bypass-flow-term-1 e bypass-flow-term-2 que combinam o tráfego entre interfaces internas ge-0/0/1 e ge-0/0/2 e que contêm o modificador de ação do modo pacote. Você define o termo aceitar descanso para aceitar todo o tráfego restante. Por fim, você aplica o filtro de fluxo de desvio do filtro de firewall em interfaces internas ge-0/0/1 e ge-0/0/2 (não na interface externa). Como resultado, todo o tráfego interno ignora o encaminhamento baseado em fluxo e o tráfego de e para a Internet não ignora o encaminhamento baseado em fluxo.

A Figura 3 mostra a topologia de rede usada neste exemplo.

Figura 3: Tráfego intranet usando serviços de ponta a ponta baseados em pacotes Intranet Traffic Using End-to-End Packet-Based Services

As filiais da sua empresa estão conectadas entre si por meio de uma WAN privada. Para esse tráfego interno, o encaminhamento de pacotes é necessário porque a segurança não é um problema. Assim, para esse tráfego, você decide configurar serviços seletivos baseados em pacotes stateless para contornar o encaminhamento baseado em fluxo. O tráfego restante, de e para a Internet, usa o encaminhamento baseado em fluxo.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar serviços seletivos baseados em pacotes stateless para encaminhamento de ponta a ponta baseado em pacotes:

  1. Configure os endereços IP para as interfaces nos dispositivos R0, R1, R2 e R3.

  2. Crie rotas estáticas e associe os endereços next-hop apropriados para dispositivos R0, R1, R2 e R3.

  3. Configure zonas de segurança e atribua interfaces.

  4. Configure serviços de aplicativos para zonas.

  5. Configure uma política de segurança

  6. Crie um filtro de firewall e defina termos para todo o tráfego de encaminhamento baseado em pacotes.

  7. Especifique outro termo para o tráfego restante.

  8. Aplique o filtro de firewall em interfaces relevantes.

Resultados

A partir do modo de configuração, confirme sua configuração entrando no show interfacese show routing-optionsshow firewall nos comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando a configuração de ponta a ponta baseada em pacotes

Propósito

Verifique se os serviços seletivos baseados em pacotes sem estado estão configurados.

Ação

Desde o modo de configuração, entre noshow interfaces, show routing-options, show security zonesshow security policiese show firewall comandos.

Verifique se a saída mostra a configuração pretendida do filtro de firewall, interfaces e políticas.

Verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert comando.

Verificando o estabelecimento de sessão no tráfego intranet

Propósito

Verifique se as sessões são estabelecidas quando o tráfego é transmitido para interfaces dentro da Intranet.

Ação

Para verificar se as sessões estão estabelecidas, execute as seguintes tarefas:

  1. No dispositivo R1, entre no comando do modo clear security flow session all operacional para limpar todas as sessões de fluxo de segurança existentes.

  2. No dispositivo R0, insira o comando de modo ping operacional para transmitir tráfego ao dispositivo R3.

  3. No dispositivo R1, com o tráfego transmitindo de dispositivos R0 até o R3 fim R1, entre no comando do modo show security flow session operacional.

Nota:

Para verificar sessões estabelecidas, certifique-se de entrar no show security flow session comando enquanto o ping comando está enviando e recebendo pacotes.

A partir do Junos OS Release 15.1X49-D30 e do Junos OS Release 17.3R1, os resumos do fluxo de sessão incluem IDs de sessão de CP.

A saída mostra o tráfego transmitindo de R0 para R3 e nenhuma sessão é estabelecida. Neste exemplo, você aplicou o modificador de ação bypass-flow-filter em interfaces Internal 1 e Internal 2 o tráfego Intranet da sua empresa.packet-mode Essa saída verifica se o tráfego entre as duas interfaces está contornando corretamente o encaminhamento baseado em fluxo e, portanto, nenhuma sessão é estabelecida.

Verificando o estabelecimento de sessão no tráfego da Internet

Propósito

Verifique se as sessões são estabelecidas quando o tráfego é transmitido para a Internet.

Ação

Para verificar se o tráfego para a Internet está usando o encaminhamento baseado em fluxo e sessões são estabelecidas, execute as seguintes tarefas:

  1. No dispositivo R1, entre no comando do modo clear security flow session all operacional para limpar todas as sessões de fluxo de segurança existentes.

  2. No dispositivo R0, insira o comando de modo ping operacional para transmitir tráfego ao dispositivo R2.

  3. No dispositivo R1, com o tráfego transmitindo de R0 até R2 o outro R1, entre no comando do modo show security flow session operacional.

Nota:

Para verificar sessões estabelecidas, certifique-se de entrar no show security flow session comando enquanto o ping comando está enviando e recebendo pacotes.

A saída mostra o tráfego transmitindo de dispositivos R0 para R1 sessões estabelecidas. Neste exemplo, você não aplicou o modificador packet-mode de ação bypass-flow-filter na interface Internet para o tráfego de Internet da sua empresa. Essa saída verifica se o tráfego para a Internet está usando corretamente o encaminhamento baseado em fluxo e, portanto, as sessões são estabelecidas.

Transmita tráfego do dispositivo R3 para R2 e use os comandos nesta seção para verificar sessões estabelecidas.

Exemplo: configurar serviços seletivos baseados em pacotes sem estado para encaminhamento baseado em pacotes e baseados em fluxo

Este exemplo mostra como configurar serviços seletivos baseados em pacotes sem estado para encaminhamento baseado em pacotes e baseados em fluxo. Esse recurso tem suporte para dispositivos SRX300, SRX320, SRX340, SRX345, SRX550M, SRX1500 e vSRX.

Requisitos

Antes de começar:

  • Entenda como configurar filtros de firewall stateless.

  • Estabeleça conectividade básica. .

Visão geral

Neste exemplo, você configura os endereços IP para as interfaces em cada um dos dispositivos. Para o dispositivo R0 como 198.51.100.9/24; para R1 são198.51.100.10/24 e 203.0.113.5/24; e para R2 é 203.0.113.9/24. No dispositivo R1, você define uma interface de serviço interna lt-0/0/0 entre instâncias de roteamento e configura uma relação de peer entre dois dispositivos virtuais. Em seguida, você cria duas zonas de segurança, zona de VR primária e zona Internet-VR, atribua interfaces relacionadas a elas e as configura para permitir que todos os aplicativos e protocolos suportados.

Em seguida, você configura políticas e especifica que todos os pacotes são permitidos. Você configura uma instância de roteamento de dispositivos virtuais Internet-VR e atribui interfaces para encaminhamento baseado em fluxo. Você habilita o OSPF nos dispositivos R0, R1 e R2. No dispositivo R2, você configura o filtro de desvio de filtro com o termo bypass-flow-term que contém o modificador de ação do modo pacote. Como você não especificou nenhuma condição de correspondência, este filtro se aplica a todo o tráfego que atravessa as interfaces nas quais é aplicado.

Por fim, no dispositivo R1 você aplica o filtro de desvio de filtro de firewall em interfaces internas ge-0/0/2.0 e lt-0/0/0.0. Você não aplica o filtro nas interfaces associadas à instância de roteamento Internet-VR. Como resultado, todo o tráfego que atravessa as interfaces LAN associadas à instância primária de roteamento usa o encaminhamento baseado em pacotes e todo o tráfego que atravessa a instância de roteamento Internet-VR usa encaminhamento baseado em fluxo.

A Figura 4 mostra a topologia de rede usada neste exemplo.

Figura 4: Serviços seletivos baseados em pacotes sem estado para encaminhamento baseado em pacotes Selective Stateless Packet-Based Services for Packet-Based Forwarding

A interface voltada para a LAN privada não precisa de serviços de segurança, mas a interface voltada para a WAN precisa de segurança. Neste exemplo, você decide configurar o encaminhamento baseado em pacotes e baseado em fluxo para tráfego seguro e não tão seguro, configurando duas instâncias de roteamento — uma lidando com o encaminhamento baseado em pacotes e a outra lidando com o encaminhamento baseado em fluxo.

Configuração

Procedimento

Configuração rápida da CLI

Para configurar este exemplo rapidamente, copie os seguintes comandos, cole-os em um arquivo de texto, remova quaisquer quebras de linha, altere todos os detalhes necessários para combinar com a configuração de sua rede e, em seguida, copie e cole os comandos na CLI no nível de [edit] hierarquia e, em seguida, entre no commit modo de configuração.

Procedimento passo a passo

O exemplo a seguir exige que você navegue por vários níveis na hierarquia de configuração. Para obter instruções sobre como fazer isso, consulte o uso do editor de CLI no modo de configuração no guia de usuário da CLI.

Para configurar serviços seletivos baseados em pacotes stateless para encaminhamento de ponta a ponta baseado em pacotes:

  1. Configure os endereços IP para as interfaces.

  2. Defina uma interface de serviço interna entre instâncias de roteamento.

  3. Configure zonas de segurança.

  4. Configure políticas.

  5. Configure uma instância de roteamento de dispositivos virtuais.

  6. Habilite o OSPF em todas as interfaces da rede.

  7. Crie um filtro de firewall e defina um termo para tráfego de encaminhamento baseado em pacotes.

  8. Aplique o filtro de firewall em interfaces relevantes.

Resultados

A partir do modo de configuração, confirme sua configuração entrando nosshow interfaces, show protocolsshow securitye show routing-instancesshow firewall comandos. Se a saída não exibir a configuração pretendida, repita as instruções de configuração neste exemplo para corrigi-la.

Se você terminar de configurar o dispositivo, entre no commit modo de configuração.

Verificação

Confirme que a configuração está funcionando corretamente.

Verificando a configuração baseada em pacotes e baseada em fluxo

Propósito

Verifique se os serviços seletivos baseados em pacotes sem estado estão configurados para encaminhamento baseado em pacotes e baseados em fluxo.

Ação

Desde o modo de configuração, entre noshow interfaces, show protocols, show securityshow routing-instancese show firewall comandos.

Verifique se a saída mostra a configuração pretendida do filtro de firewall, instâncias de roteamento, interfaces e políticas.

Verifique se os termos estão listados na ordem em que você deseja que os pacotes sejam testados. Você pode mover termos dentro de um filtro de firewall usando o insert comando.

Verificação do estabelecimento de sessão no tráfego de LAN

Propósito

Verifique se as sessões são estabelecidas quando o tráfego é transmitido em interfaces dentro da LAN.

Ação

Para verificar se as sessões estão estabelecidas, execute as seguintes tarefas:

  1. No dispositivo R1, do modo operacional, entre no clear security flow session all comando para limpar todas as sessões de fluxo de segurança existentes.

  2. No dispositivo R0, desde o modo operacional entra no ping comando para transmitir tráfego ao dispositivo Primary-VR.

  3. No dispositivo R1, com o tráfego transmitindo de dispositivos R0 por , R1desde o modo operacional entra no show security flow session comando.

Nota:

Para verificar sessões estabelecidas, garanta que você insira o show security flow session comando enquanto o ping comando está enviando e recebendo pacotes.

A saída mostra o tráfego transmitindo de R0 para Primary-VR e nenhuma sessão é estabelecida. Neste exemplo, você aplicou o modificador de ação bypass-flow-filter em interfaces ge-0/0/0 e lt-0/0/0.0 o tráfego LAN da sua empresa.packet-mode Essa saída verifica se o tráfego entre as duas interfaces está contornando corretamente o encaminhamento baseado em fluxo e, portanto, nenhuma sessão é estabelecida.

Verificando o estabelecimento de sessão no tráfego da Internet

Propósito

Verifique se as sessões são estabelecidas quando o tráfego é transmitido para a Internet.

Ação

Para verificar se o tráfego para a Internet está usando o encaminhamento baseado em fluxo e sessões são estabelecidas, execute as seguintes tarefas:

  1. No dispositivo R1, do modo operacional, entre no clear security flow session all comando para limpar todas as sessões de fluxo de segurança existentes.

  2. No dispositivo R0, desde o modo operacional entra no ping comando para transmitir tráfego ao dispositivo R2.

  3. No dispositivo R1, com o tráfego transmitindo de R0 até R2 o outro R1, do modo operacional entra no show security flow session comando.

Nota:

Para verificar sessões estabelecidas, garanta que você insira o show security flow session comando enquanto o ping comando está enviando e recebendo pacotes.

A saída mostra o tráfego transmitindo de dispositivos R0 para R2 sessões estabelecidas. Neste exemplo, você não aplicou o modificador packet-mode de ação bypass-flow-filter na instância Internet-VR de roteamento para o tráfego de Internet da sua empresa. Essa saída verifica se o tráfego para a Internet está usando corretamente o encaminhamento baseado em fluxo e, portanto, as sessões são estabelecidas.

Observe que as sessões só são estabelecidas quando o tráfego está fluindo entre lt-0/0/0.1 e ge-0/0/3 não quando o tráfego está fluindo entre ge-0/0/2 e lt-0/0/0.0.

Tabela de histórico de lançamento
Lançamento
Descrição
15,1X49-D30
A partir do Junos OS Release 15.1X49-D30 e do Junos OS Release 17.3R1, os resumos do fluxo de sessão incluem IDs de sessão de CP.