Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基于 IPv6 流的处理

本主题介绍有关 IPv6 流量和 IPv6 会话的流量处理的信息。

IPv6 高级流

IPv6 高级流为 SRX 系列设备的防火墙、NAT、NAT-PT、组播(本地链路和传输)、IPsec、IDP、JSF 框架、TCP 代理和会话管理器添加了 IPv6 支持。IPv6 流中不使用 MIP。

为避免影响当前 IPv4 环境,使用了 IPv6 安全。如果启用了 IPv6 安全,将分配扩展会话和门。现有地址字段和门用于存储扩展会话或门的索引。如果禁用 IPv6 安全,则不会分配 IPv6 安全相关资源。

新日志用于 IPv6 流流量,以防止影响现有 IPv4 系统的性能。

在大多数情况下,IPv6 高级流的行为和实施与 IPv4 相同。

会话、门、ip 操作、多线程处理、分布、锁定、同步、序列化、排序、数据包队列、异步消息处理、IKE 流量问题、理智检查和 IPv6 队列的实施与 IPv4 实施类似。

部分差异如下:

  • Header Parse IPv6 高级流可停止解析标头,当数据包遇到以下扩展标头时,将其解释为相应的协议数据包:

    • TCP/UDP

    • ESP/AH

    • ICMPv6

    如果遇到以下扩展标头,IPv6 高级流将继续解析标头:

    • 逐跳

    • 路由和目标,分片

    如果数据包遇到扩展标头,IPv6 高级流会将其解释为未知协议数据包 No Next Header

  • Sanity Checks— IPv6 高级流支持以下理智检查:

    • TCP 长度

    • UDP 长度

    • 逐跳

    • IP 数据长度错误

    • 3 层理智检查(例如 IP 版本和 IP 长度)

    • ICMPv6 Packets 在 IPv6 高级流中,ICMPv6 数据包与正常 IPv6 流量共享相同的行为,但以下情况例外:

      • 嵌入式 ICMPv6 数据包

      • 路径MTU消息

  • Host Inbound and Outbound Traffic IPv6 高级流支持在 路由引擎 (RE) 上运行的所有路由和管理协议,包括 OSPF v3、RIPng、Telnet 和 SSH。请注意,流中未使用流标签。

  • Tunnel Traffic IPv6 高级流支持以下隧道类型:

    • IPv4 IP-IP

    • IPv4 GRE

    • IPv4 IPsec

    • 精简双栈

  • Events and Logs 以下日志用于 IPv6 相关流量:

    • RT_FLOW_IPVX_SESSION_DENY

    • RT_FLOW_IPVX_SESSION_CREATE

    • RT_FLOW_IPVX_SESSION_CLOSE

了解 IPv6 流的会话

本主题提供基于流的会话的概述。

大多数数据包处理在流量上下文中进行,包括策略、区域和大多数屏幕的管理。为信息流的第一个数据包创建会话,其用途如下:

  • 要存储要应用于信息流数据包大多数安全措施。

  • 要缓存有关流状态的信息。例如,流的日志记录和计数信息在其会话中缓存。(此外,某些状态防火墙屏幕依赖于与单个会话或所有会话相关的阈值。)

  • 要分配流功能所需的资源。

  • 为路由器网关 (AALG) 应用层框架。

了解设备上、SRX5400、SRX5600上的 IPv6 SRX5800处理

本主题介绍用于管理、SRX5400和SRX5600设备的SRX5800架构。这些设备上的流处理类似于分支办事处 SRX 系列设备的流处理。

这些设备包括 I/O 卡 (IPC) 和服务处理卡 (SPC),每个卡都包含在遍历设备时处理数据包的进程单元。这些处理单元的职责各不相同。

  • 网络处理单元 (NPU) 在 IOC 上运行。IOC 有一个或多个 NPC。NPU 单独处理数据包并执行基本流管理功能。

    当 IPv6 数据包到达 IOC 时,数据包流进程将开始。

    • NPU 对数据包执行以下 IPv6 理智检查:

      • 对于 IPv6 基本报头,它会执行以下报头检查:

        • 版本。它会验证标头是否指定了版本的 IPv6。

        • 有效负载长度。它会检查有效负载长度,以确保 IPv6 数据包与第 2 层标头的组合长度短于第 2 层帧长度。

        • 跳跃限制。它会检查跳跃限制是否未指定 0(零)。

        • 地址检查。它会检查确保源 IP 地址未指定 ::0或 FF::00,并且目标 IP 地址未指定 ::0或 ::1。

      • NPU 执行 IPv6 扩展标头检查,包括以下内容:

        • 逐跳选项。它会验证这是遵循 IPv6 基本标头的第一个扩展标头。

        • 路由扩展。它会验证是否只有一个路由扩展标头。

        • 目标选项。它会验证不包含两个以上的目标选项扩展标头。

        • 片段。它会验证是否只有一个分片标头。

        注意:

        NPU 将任何其他扩展标头视为第 4 层标头。

      • NPU 执行第 4 层 TCP、UDP 和 ICMP6 协议检查,包括:

        • UDP。它会检查确保 IP 有效负载长度数据包(不是第一个分片数据包)的长度至少为 8 字节。

        • TCP。它会检查确保 IP 有效负载长度数据包(不是第一个分片数据包)的长度至少为 20 字节。

        • ICMPv6。它会检查确保 IP 有效负载长度数据包(不是第一个分片数据包)的长度至少为 8 字节。

    • 如果数据包指定了 TCP 或 UDP 协议,NPU 将使用以下信息从数据包标头数据创建元组:

      • 源 IP 地址

      • 目标 IP 地址

      • 源端口

      • 目标端口

      • 协议

      • 虚拟路由器标识符 (VRID)

        设备从 VRID 表中查找 VRID。

    • 对于互联网控制消息协议版本 6 (ICMPv6) 数据包,元组包含与 TCP 和 UDP 搜索密钥相同的信息,源端口和目标端口字段除外。源端口和目标端口字段将替换为从 ICMPv6 数据包中提取的以下信息:

      • 对于 ICMP 错误数据包:模式"0x00010001"

      • 对于 ICMP 信息数据包:类型或代码、字段标识符

    • 对于具有认证头 (AH) 或封装安全有效负载 (ESP) 标头的数据包,搜索密钥与 TCP 和 UDP 元组使用的数据包相同,源端口和目标端口字段除外。在这种情况下,将使用安全参数索引 (SPI) 字段值,而不是源端口和目标端口。对于封装安全有效负载 (ESP) 报头和认证头 (AH),在增强中中点架构之前,在增强中性点架构之前,先通过三元组和安全参数索引 (SPI) 字段进行散列,之后通过 IP 对对中点架构进行散列。

    • 如果数据包流存在会话,NPU 将数据包发送到管理会话的 SPU。

    • 如果不存在匹配会话,

      • NPU 将数据包信息发送到中央点,中心点将创建挂起会话。

      • 中心点会选择一个 SPU 来处理数据包并创建会话。

      • 然后,SPU 将会话创建消息发送到中央点和入口和出口 NPU,指示它们为数据包流创建会话。

  • 一个中心点,可在专用 SPU 上运行,如果只有一个 SPU,则共享其资源。中心点负责仲裁和资源分配,以智能方式分配会话。当 SPU 处理其流的第一个数据包时,中心点将分配一个 SPU 用于特定会话。

    • 对于 SRX5000 系列设备,中心点架构分为两个模块:应用中心点和分布式中心点 (DCP)。App-CP 负责全局资源管理和负载平衡,而 DCP 则负责流量识别(全局会话匹配)。App-CP 功能在专用中央点 SPU 上运行,而 DCP 功能则分布到 SPU 的其余部分。

  • 在服务处理卡 (SPC) 上运行的一个或多个 SPC。数据包的所有基于流的服务在为数据包流设置的会话上下文中在单个 SPU 上执行。

    用于 SRX5000 系列设备的 SPC 有两个 SPC。

    可在机箱中安装多个 SPC。

    SPU 主要执行以下任务:

    • 它管理会话,向数据包应用安全功能和其他服务。

    • 它应用基于数据包的无状态防火墙过滤器、分类器以及流量塑造器。

    • 如果数据包尚未存在会话,SPU 会向执行数据包会话搜索的 NPU 发送请求消息,指示它为它添加会话。

系统中的这些离散、成流部分存储了信息,用于识别会话是否存在用于数据包流,以及与数据包匹配的信息,以确定其是否属于现有会话。

为 IPv6 流量启用基于流的处理

您具有以下处理 IPv6 流量的选项:

  • 丢弃 - 不要转发 IPv6 数据包。这是默认行为。

  • 基于数据包的转发 — 请勿仅根据基于数据包的功能创建会话和进程(包括防火墙过滤器和服务等级。

  • 基于流的转发 — 根据基于数据包的功能(包括防火墙过滤器和 服务等级)以及基于流的安全功能(如筛选和防火墙安全策略)创建会话和进程。

要为 IPv6 信息流启用基于流的处理,请修改 mode [ edit security forwarding-options family inet6 ] 层次结构级别的语句:

以下示例显示用于CLI IPv6 流量转发的组命令:

如果更改了 IPv6 的转发选项模式,可能需要执行重新启动才能初始化配置更改。 表 1 汇总了配置更改时的设备状态。

表 1:配置更改后的设备状态

配置更改

提交警告

需要重新启动

重新启动之前对现有流量的影响

重新启动之前新流量的影响

丢弃至基于流的

是的

是的

下降

下降

丢弃至基于数据包

基于数据包

基于数据包

基于流量到基于数据包

是的

是的

没有

创建的流会话

基于流的丢弃

是的

是的

没有

创建的流会话

基于数据包到基于流的

是的

是的

基于数据包

基于数据包

基于数据包以丢弃

下降

下降

安全设备上 IPv6 流量基于流的处理

安全功能(如区域、屏幕和防火墙策略)必须基于流的处理模式才能运行。默认情况下,除了设置为丢弃模式的 SRX300 系列和 SRX550M 设备之外,SRX 系列设备还支持所有设备上 IPv6 流量基于流的转发。从 Junos OS 版 15.1X49-D70 和 Junos OS 版本 17.3R1 开始,对于 SRX1500 系列、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800 和 vSRX 设备,当在流模式、数据包模式和丢弃模式之间切换模式时,不需要重新启动设备。对于 SRX300 和 SRX550M 设备,在流模式、数据包模式和丢弃模式切换时,必须重新启动设备。

SRX300 Series and the SRX550M Devices

在 SRX300 和 SRX550M 设备上配置 IPv6 时,由于内存约束,默认行为设置为丢弃模式。在这种情况下,在将处理模式从丢弃模式默认设置为基于流的处理模式或基于数据包的处理模式(即这些设备的模式之间)之后,必须重新启动设备。

注意:

对于丢弃模式处理,直接丢弃信息流,不会转发。它不同于处理信息流但不应用安全流程的数据包模式处理。

要处理 SRX300 系列和 SRX550M 设备的 IPv6 流量,您需要为接收和转发该流量的传输接口配置 IPv6 地址。有关 inet6 协议家族和接口配置 IPv6 地址的过程的信息。

Configuring an SRX Series Device as a Border Router

如果为基于流的处理或丢弃模式启用了任何类型的 SRX 系列设备,将设备配置为边界路由器,必须将此模式更改为基于数据包的处理,MPLS。在这种情况下,要将 SRX 设备配置为数据包模式MPLS,请使用 set security forwarding-options family mpls mode packet-based 语句。

注意:

如前所述,对于 SRX300 和 SRX550M 设备,只要更改处理模式,都必须重新启动设备。

Enabling Flow-Based Processing for IPv6 Traffic on SRX300 Series and SRX550M Devices

要为 SRX300 系列和 SRX550M 设备的 IPv6 流量启用基于流的转发,请修改层级为 [ ] edit security forwarding-options family inet6 的模式:

要配置 SRX500M SRX300 IPv6 流量的转发:

  1. 将 IPv6 的转发选项模式更改为基于流。
  2. 查看配置。
  3. 提交配置。
  4. 重新启动设备。
注意:

对于SRX300 SRX500M 设备,设备将丢弃 IPv6 类型 0 路由标头 (RH0) 数据包。

使用过滤器显示 SRX 系列服务网关的 IPv6 会话和流量信息

目的

您可以使用 命令显示有关一个或多个会话的流和 show security flow session 会话信息。聚合统计信息中包含 IPv6 会话。

您可以使用以下过滤器与命令:应用程序、 show security flow session 目标端口、目标前缀、系列、idp、接口、nat、协议、资源管理器、会话标识符、源端口、源前缀和隧道。

注意:

除了会话标识符过滤器之外,其他所有过滤器的输出都可以通过简要、摘要和广泛的模式查看。简要模式是默认模式。只有简单模式下才能查看会话标识符过滤器的输出。

您可使用与 命令相同的过滤器 clear security flow session 选项来终止会话。

行动

以下示例显示如何使用 IPv6 相关过滤器显示 IPv6 会话的摘要和详细信息。

注意:

从 Junos OS 15.1X49-D30和Junos OS版本17.3R1,许多这些会话摘要都包括 CP 会话 ID。

基于家族的过滤摘要报告

基于家族的过滤式详细报告

基于家族的过滤简要报告

基于 IPv6 源前缀过滤的详细报告

基于家族、协议和源前缀的多过滤详细报告

清除所有会话,包括 IPv6 会话

仅清除 IPv6 会话

版本历史记录表
释放
描述
15.1X49-D70
默认情况下,除了设置为丢弃模式的 SRX300 系列和 SRX550M 设备之外,SRX 系列设备还支持所有设备上 IPv6 流量基于流的转发。从 Junos OS 15.1X49-D70 和 Junos OS 版本 17.3R1 开始,对于 SRX1500 系列、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800 和 vSRX 设备,当在流模式、数据包模式和丢弃模式之间切换模式时,无需重新启动设备。对于SRX300 SRX550M 设备,在流模式、数据包模式和丢弃模式切换时,必须重新启动设备。
15.1X49-D30
从 Junos OS 15.1X49-D30和Junos OS版本17.3R1,许多这些会话摘要都包括 CP 会话 ID。