Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

基于 IPv6 流的处理

本主题介绍有关 IPv6 流量和 IPv6 会话的流处理的信息。

IPv6 高级流程

IPv6 高级流程增加了对防火墙、NAT、NAT-PT、组播(本地链路和传输)、IPsec、IDP、JSF 框架、TCP 代理和 SRX 系列防火墙上的会话管理器的 IPv6 支持。在 IPv6 流中不使用 MIB。

为了避免对当前IPv4环境的影响,使用了IPv6安全性。如果启用了 IPv6 安全性,则会分配扩展会话和入口。现有的地址字段和门用于存储扩展会话或门的索引。如果禁用 IPv6 安全性,则不会分配与 IPv6 安全相关的资源。

新日志用于 IPv6 流量流量,以防止影响现有 IPv4 系统的性能。

在大多数情况下,IPv6 高级流的行为和实现与 IPv4 的行为和实现相同。

会话、门、IP 操作、多线程处理、分发、锁定、同步、序列化、排序、数据包队列、异步消息传递、IKE 流量问题、健全性检查和 IPv6 队列的实现与 IPv4 实现类似。

下面解释了一些差异:

  • Header Parse 如果遇到以下扩展标头,IPv6 高级流将停止解析标头,并将数据包解释为相应的协议数据包:

    • TCP/UDP

    • ESP/AH

    • ICMPv6

    如果遇到以下扩展标头,IPv6 高级流将继续解析标头:

    • 逐跳

    • 路由和目标,片段

    IPv6 高级流在遇到扩展标头No Next Header时将数据包解释为未知协议数据包

  • Sanity Checks— IPv6 高级流程支持以下健全性检查:

    • TCP 长度

    • UDP 长度

    • 逐跳

    • IP 数据长度错误

    • 第 3 层健全性检查(例如,IP 版本和 IP 长度)

    • ICMPv6 Packets 在 IPv6 高级流中,ICMPv6 数据包与正常 IPv6 流量共享相同的行为,但存在以下例外:

      • 嵌入式 ICMPv6 数据包

      • 路径 MTU 消息

  • Host Inbound and Outbound Traffic IPv6 高级流程支持在路由引擎 (RE) 上运行的所有路由和管理协议,包括 OSPF v3、RIPng、Telnet 和 SSH。请注意,流程中不使用流标签。

  • Tunnel Traffic IPv6 高级流程支持以下隧道类型:

    • IPv4 IP-IP

    • IPv4 GRE

    • IPv4 IPsec

    • 双堆栈精简版

  • Events and Logs 以下日志用于与 IPv6 相关的流量流量:

    • RT_FLOW_IPVX_SESSION_DENY

    • RT_FLOW_IPVX_SESSION_CREATE

    • RT_FLOW_IPVX_SESSION_CLOSE

了解 IPv6 流的会话

本主题概述了基于流的会话。

大多数数据包处理发生在流的上下文中,包括策略、区域和大多数屏幕的管理。为流的第一个数据包创建会话,用于以下目的:

  • 存储要应用于流数据包的大部分安全措施。

  • 缓存有关流状态的信息。例如,流的日志记录和计数信息缓存在其会话中。(此外,某些有状态防火墙屏幕依赖于与单个会话或所有会话相关的阈值。

  • 分配流功能所需的资源。

  • 为应用层网关 (ALG) 等功能提供框架。

了解SRX5400、SRX5600和SRX5800设备上的 IPv6 流处理

本文介绍SRX5400、SRX5600和SRX5800设备的架构。这些设备上的流处理类似于分支机构 SRX 系列防火墙上的流处理。

这些设备包括 I/O 卡 (IOC) 和服务处理卡 (SPC),每个设备都包含处理单元,用于在数据包遍历设备时对其进行处理。这些处理单元具有不同的职责。

  • 网络处理单元 (NPU) 在 IOC 上运行。IOC 有一个或多个 NPU。NPU 离散处理数据包并执行基本的流管理功能。

    当 IPv6 数据包到达 IOC 时,数据包流过程开始。

    • NPU 对数据包执行以下 IPv6 健全性检查:

      • 对于 IPv6 基本报头,它将执行以下报头检查:

        • 版本。它验证标头是否为版本指定了 IPv6。

        • 有效负载长度。它会检查有效负载长度,以确保 IPv6 数据包和第 2 层标头的总长度短于第 2 层帧长度。

        • 跃点限制。它进行检查以确保跃点限制未指定 0(零)。

        • 地址检查。它进行检查以确保源 IP 地址未指定 ::0 或 FF::00,并且目标 IP 地址未指定 ::0 或 ::1。

      • NPU 执行 IPv6 扩展标头检查,包括以下内容:

        • 逐跳选项。它验证这是 IPv6 基本报头之后的第一个扩展报头。

        • 路由扩展。它验证只有一个路由扩展标头。

        • 目标选项。它验证包含的目标选项扩展标头不超过两个。

        • 片段。它验证只有一个片段标头。

        注意:

        NPU 将任何其他扩展报头视为第 4 层报头。

      • NPU 执行第 4 层 TCP、UDP 和 ICMP6 协议检查,包括以下内容:

        • UDP。它进行检查以确保 IP 有效负载长度数据包(第一个分段数据包除外)的长度至少为 8 个字节。

        • TCP。它进行检查以确保 IP 有效负载长度数据包(第一个分段数据包除外)的长度至少为 20 个字节。

        • ICMPv6.它进行检查以确保 IP 有效负载长度数据包(第一个分段数据包除外)的长度至少为 8 个字节。

    • 如果数据包指定了 TCP 或 UDP 协议,则 NPU 使用以下信息从数据包标头数据创建一个元组:

      • 源 IP 地址

      • 目标 IP 地址

      • 源端口

      • 目标端口

      • 协议

      • 虚拟路由器标识符 (VRID)

        设备从 VRID 表中查找 VRID。

    • 对于互联网控制消息协议版本 6 (ICMPv6) 数据包,元组包含的信息与用于 TCP 和 UDP 搜索键的信息相同,但源端口和目标端口字段除外。源端口和目标端口字段将替换为从 ICMPv6 数据包中提取的以下信息:

      • 对于 ICMP 错误数据包:“0x00010001”模式

      • 对于 ICMP 信息数据包:类型或代码、字段标识符

    • 对于具有身份验证标头 (AH) 或封装安全有效负载 (ESP) 标头的数据包,搜索密钥与用于 TCP 和 UDP 元组的搜索密钥相同,但源端口和目标端口字段除外。在这种情况下,将使用安全参数索引 (SPI) 字段值,而不是源端口和目标端口。对于封装安全有效负载 (ESP) 标头和身份验证标头 (AH),在增强 cenral 点架构之前,它由 3 元组和安全参数索引 (SPI) 字段进行哈希处理,在增强 cenral 点架构之后,它由 IP 对进行哈希处理。

    • 如果数据包流存在会话,NPU 会将数据包发送到管理会话的 SPU。

    • 如果匹配会话不存在,

      • NPU 将数据包信息发送到中央点,中央点将创建挂起的会话。

      • 中央点选择一个 SPU 来处理数据包并为其创建会话。

      • 然后,SPU 将会话创建消息发送到中央点以及入口和出口 NPU,指示它们为数据包流创建会话。

  • 一个中心点,可以在专用 SPU 上运行,如果只有一个 SPU,则可以共享一个 SPU 的资源。中心点负责仲裁和资源分配,并以智能方式分配会话。中央点分配一个 SPU,以便在 SPU 处理其流的第一个数据包时用于特定会话。

    • 对于SRX5000系列设备,中心点架构分为两个模块 - 应用中心点和分布式中心点 (DCP)。App-CP 负责全局资源管理和负载平衡,而 DCP 负责流量识别(全局会话匹配)。App-CP 功能在专用中央点 SPU 上运行,而 DCP 功能则分发给其余 SPU。

  • 在服务处理卡 (SPC) 上运行的一个或多个 SPU。数据包的所有基于流的服务都在为数据包流设置的会话上下文中的单个 SPU 上执行。

    SRX5000系列设备的 SPC 有两个 SPU。

    一个机箱中可以安装多个 SPC。

    SPU 主要执行以下任务:

    • 它管理会话并将安全功能和其他服务应用于数据包。

    • 它应用基于数据包的无状态防火墙过滤器、分类器和流量整形器。

    • 如果数据包尚不存在会话,SPU 会向搜索数据包会话的 NPU 发送请求消息,指示其为其添加会话。

系统的这些离散协作部分存储识别数据包流是否存在会话的信息,以及数据包匹配的信息,以确定它是否属于现有会话。

为 IPv6 流量启用基于流的处理

您可以使用以下选项来处理 IPv6 流量:

  • 丢弃 — 不转发 IPv6 数据包。

  • 基于数据包的转发 — 不要仅根据基于数据包的功能(包括防火墙过滤器和服务等级)创建会话和进程。

  • 基于流的转发 — 根据基于数据包的功能(包括防火墙过滤器和服务等级)以及基于流的安全功能(如屏幕和防火墙安全策略)创建会话和进程。这是默认行为。

要为 IPv6 流量启用基于流的处理,请在 [edit security forwarding-options family inet6] 层次结构级别修改mode语句:

以下示例显示了用于为 IPv6 流量配置转发的 CLI 命令:

如果更改 IPv6 的转发选项模式,则可能需要执行重新启动以初始化配置更改。 表 1 汇总了配置更改后的设备状态。

表 1:配置更改时的设备状态

配置更改

提交警告

需要重新启动

重新启动前对现有流量的影响

重新启动前对新流量的影响

下降到基于流

是的

是的

下降

下降

丢弃到基于数据包

基于数据包

基于数据包

从基于流到基于数据包

是的

是的

没有

创建的流会话

基于流量的丢弃

是的

是的

没有

创建的流会话

从基于数据包到基于流

是的

是的

基于数据包

基于数据包

基于数据包的丢弃

下降

下降

基于流的安全设备上的 IPv6 流量处理

要使安全功能(如区域、屏幕和防火墙策略)正常运行,需要基于流的处理模式。默认情况下,除设置为丢弃模式的 SRX300 系列和 SRX550M 设备外,所有设备上的 IPv6 流量都启用了基于流的转发 SRX 系列防火墙。从 Junos OS 版本 15.1X49-D70 和 Junos OS 版本 17.3R1 开始,对于 SRX1500 系列、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800 和 vSRX 虚拟防火墙设备,在流模式、数据包模式和丢弃模式之间切换模式时,无需重新启动设备。对于 SRX300 系列和 SRX550M 设备,在流模式、数据包模式和丢弃模式之间切换时,必须重新启动设备。

SRX300 Series and the SRX550M Devices

在 SRX300 系列和 SRX550M 设备上配置 IPv6 时,由于内存限制,默认行为设置为丢弃模式。在这种情况下,在将处理模式从丢弃模式默认更改为基于流的处理模式或基于数据包的处理模式(即在这些设备上的模式之间)后,必须重新启动设备。

注意:

对于丢弃模式处理,流量是直接丢弃的,不会转发。它不同于处理流量但不应用安全进程的数据包模式处理。

要处理 SRX300 系列和 SRX550M 设备上的 IPv6 流量,您需要为接收和转发流量的中转接口配置 IPv6 地址。有关 inet6 协议家族和为接口配置 IPv6 地址的过程的信息。

Configuring an SRX Series Device as a Border Router

为基于流的处理或丢弃模式启用任何类型的 SRX 系列防火墙后,要将设备配置为边界路由器,必须将 MPLS 模式更改为基于数据包的处理。在这种情况下,要将 SRX 系列防火墙配置为 MPLS 的数据包模式,请使用语句 set security forwarding-options family mpls mode packet-based

注意:

如前所述,对于 SRX300 系列和 SRX550M 设备,每当更改处理模式时,都必须重新启动设备。

Enabling Flow-Based Processing for IPv6 Traffic on SRX300 Series and SRX550M Devices

要在 SRX300 系列和 SRX550M 设备上为 IPv6 流量启用基于流的转发,请在 [edit security forwarding-options family inet6] 层次结构级别修改模式:

要为 SRX300 系列或SRX500M设备上的 IPv6 流量配置转发:

  1. 将 IPv6 的转发选项模式更改为基于流。
  2. 查看您的配置。
  3. 提交配置。
  4. 重新启动设备。
注意:

对于 SRX300 系列和 SRX500M 设备,设备会丢弃 IPv6 类型 0 路由标头 (RH0) 数据包。

使用过滤器显示 SRX 系列服务网关的 IPv6 会话和流信息

目的

您可以使用命令 show security flow session 显示有关一个或多个会话的流和会话信息。IPv6 会话包含在汇总统计信息中。

您可以将以下过滤器 show security flow session 与命令一起使用:应用程序、目标端口、目标前缀、系列、IDP、接口、nat、协议、资源管理器、会话标识符、源端口、源前缀和隧道。

注意:

除会话标识符筛选器外,可以在简要、摘要和扩展模式下查看所有其他筛选器的输出。简短模式是默认模式。会话标识符筛选器的输出只能在简短模式下查看。

您可以将相同的过滤器选项与 clear security flow session 命令一起使用来终止会话。

行动

以下示例说明如何使用与 IPv6 相关的筛选器显示 IPv6 会话的摘要和详细信息。

注意:

从 Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版开始,其中许多会话摘要都包含 CP 会话 ID。

基于系列的筛选摘要报告

基于系列的过滤详细报告

基于家族的过滤摘要报告

基于 IPv6 源前缀的过滤详细报告

基于系列、协议和源前缀的多重过滤详细报告

清除所有会话,包括 IPv6 会话

仅清除 IPv6 会话

更改历史记录表

功能支持由您使用的平台和版本决定。使用 功能资源管理器 确定您的平台是否支持某个功能。

释放
描述
15.1X49-D70
默认情况下,除设置为丢弃模式的 SRX300 系列和 SRX550M 设备外,所有设备上的 IPv6 流量都启用了基于流的转发 SRX 系列防火墙。从 Junos OS 版本 15.1X49-D70 和 Junos OS 版本 17.3R1 开始,对于 SRX1500 系列、SRX4100、SRX4200、SRX5400、SRX5600、SRX5800 和 vSRX 虚拟防火墙设备,在流模式、数据包模式和 丢弃模式之间切换模式时,无需重新启动设备。对于 SRX300 系列和 SRX550M 设备,在流模式、数据包模式和丢弃模式之间切换时 ,必须重新启动设备。
15.1X49-D30
从 Junos OS 15.1X49-D30 版和 Junos OS 17.3R1 版开始,其中许多会话摘要都包含 CP 会话 ID。