基于 IPv6 流的处理

IPv6 高级流在 SRX 系列设备上增加了对防火墙、NAT、NAT-PT、组播（本地链路和传输）、IPsec、IDP、JSF 框架、TCP 代理和会话管理器的 IPv6 支持。IPv6 流中不使用 MIB。

为了避免对当前 IPv4 环境造成影响，我们使用 IPv6 安全性。如果启用了 IPv6 安全性，则会分配扩展的会话和门。现有地址字段和门用于存储扩展会话或门的索引。如果禁用 IPv6 安全性，则不会分配 IPv6 安全相关资源。

新日志用于 IPv6 流流量，以防止对现有 IPv4 系统中的性能产生影响。

在大多数情况下，IPv6 高级流的行为和实现与 IPv4 相同。

会话、门、IP 操作、多线程处理、分布、锁定、同步、序列化、排序、数据包队列、异步消息传送、IKE 流量问题、健全性检查和队列等 IPv6 的实施与 IPv4 实施相似。

其中一些差异解释如下：

• Header Parse IPv6 高级流将停止解析标头，并在遇到以下扩展标头时将数据包解释为相应的协议数据包：

  • TCP/UDP

  • ESP/AH

  • ICMPv6

  IPv6 高级流在遇到以下扩展标头时继续解析标头：

  • 逐跳

  • 路由和目标、分片

  IPv6 高级流在遇到扩展标头No Next Header时，将数据包解释为未知协议数据包

• Sanity Checks— IPv6 高级流支持以下健全性检查：

  • TCP 长度

  • UDP 长度

  • 逐跳

  • IP 数据长度错误

  • 3 层健全性检查（例如，IP 版本和 IP 长度）

  • ICMPv6 Packets 在 IPv6 高级流中，ICMPv6 数据包的行为与正常 IPv6 流量共享相同，但有以下例外：

    • 嵌入式 ICMPv6 数据包

    • 路径 MTU 消息

• Host Inbound and Outbound Traffic IPv6 高级流支持在路由引擎 （RE） 上运行的所有路由和管理协议，包括 OSPF v3、RIPng、Telnet 和 SSH。请注意，流中不使用流标签。

• Tunnel Traffic IPv6 高级流支持以下隧道类型：

  • IPv4 IP-IP

  • IPv4 GRE

  • IPv4 IPsec

  • 双堆栈精简版

• Events and Logs 以下日志用于与 IPv6 相关的流流量：

  • RT_FLOW_IPVX_SESSION_DENY

  • RT_FLOW_IPVX_SESSION_CREATE

  • RT_FLOW_IPVX_SESSION_CLOSE

本主题介绍 SRX5400、SRX5600 和 SRX5800 设备的架构。这些设备上的流处理类似于分支机构 SRX 系列设备上的流处理。

这些设备包括 I/O 卡 （IOC） 和服务处理卡 （SPC），每个设备都包含在设备中处理数据包的处理单元。这些处理单元有不同的职责。

• 网络处理单元 （NPU） 在 IOC 上运行。IOC 有一个或多个 NPU。NPU 会分别处理数据包并执行基本流量管理功能。

  当 IPv6 数据包到达 IOC 时，将开始数据包流进程。

  • NPU 对数据包执行以下 IPv6 健全性检查：

    • 对于 IPv6 基本报头，它会执行以下标头检查：

      • 版本。它会验证报头是否为版本指定了 IPv6。

      • 有效负载长度。它会检查有效负载长度，以确保 IPv6 数据包和第 2 层报头的总长度比第 2 层帧长度短。

      • 跃点限制。它会检查以确保跃点限制未指定 0（零）。

      • 地址检查。它会检查以确保源 IP 地址未指定 ：：0或 FF：：00，而目标 IP 地址未指定 ：：0或 ：：1。

    • NPU 会执行 IPv6 扩展标头检查，包括以下内容：

      • 逐跳选项。它会验证这是遵循 IPv6 基本报头的第一个扩展报头。

      • 路由扩展。它会验证是否只有一个路由扩展标头。

      • 目标选项。它会验证包含的目标选项扩展标头是否不超过两个。

      • 片段。它会验证是否只有一个分片标头。

      注意：

      NPU 将任何其他扩展标头视为第 4 层标头。

    • NPU 执行第 4 层 TCP、UDP 和 ICMP6 协议检查，包括以下内容：

      • Udp。它检查以确保 IP 有效负载长度数据包（除第一个分片数据包外）的长度至少为 8 字节。

      • Tcp。它检查以确保 IP 有效负载长度数据包（除第一个分片数据包外）的长度至少为 20 个字节。

      • ICMPv6。它检查以确保 IP 有效负载长度数据包（除第一个分片数据包外）的长度至少为 8 字节。

  • 如果数据包指定了 TCP 或 UDP 协议，NPU 将使用以下信息从数据包标头数据创建元组：

    • 源 IP 地址

    • 目标 IP 地址

    • 源端口

    • 目标端口

    • 协议

    • 虚拟路由器标识符 （VRID）

      设备从 VRID 表中查找 VRID。

  • 对于互联网控制消息协议版本 6 （ICMPv6） 数据包，元组包含与用于 TCP 和 UDP 搜索密钥的信息相同，源和目标端口字段除外。源端口字段和目标端口字段将替换为从 ICMPv6 数据包中提取的以下信息：

    • 对于 ICMP 错误数据包：模式“0x00010001”

    • 对于 ICMP 信息包：类型或代码字段标识符

  • 对于带有认证头 （AH） 或封装安全有效负载 （ESP） 标头的数据包，搜索密钥与用于 TCP 和 UDP 元组的搜索密钥相同，源和目标端口字段除外。在这种情况下，使用安全参数索引 （SPI） 字段值，而不是源端口和目标端口。对于封装安全有效负载 （ESP） 标头和认证头 （AH），在增强中心点架构之前，由 3 元和安全参数索引 （SPI） 字段对它进行哈希处理，在对中心点架构进行增强后，它由 IP 对散列。

  • 如果数据包流存在会话，NPU 会将数据包发送至管理该会话的 SPU。

  • 如果不存在匹配的会话

    • NPU 将数据包信息发送至中心点，从而形成一个挂起的会话。

    • 中心点选择一个 SPU 来处理数据包，并为其创建会话。

    • 然后，SPU 会向中心点以及入口和出口 NPU 发送会话创建消息，引导它们为数据包流创建会话。

• 一个中心点，可以在专用 SPU 上运行，如果只有一个 SPU，则可以共享一个中心点的资源。一个中心点负责仲裁和资源分配，并且以智能方式分配会话。当 SPU 处理其流的第一个数据包时，中心点将分配用于特定会话的 SPU。

  • 对于 SRX5000 系列设备，中心点架构分为两个模块—应用中心点和分布式中心点 （DCP）。App-CP 负责全局资源管理和负载均衡，DCP 负责流量识别（全局会话匹配）。应用程序 CP 功能在专用中心点 SPU 上运行，而 DCP 功能分发给其余 SPU。

• 在服务处理卡 （SPC） 上运行的一个或多个 SPU。数据包的所有基于流的服务都在为数据包流设置的会话上下文中，在单个 SPU 上执行。

  适用于 SRX5000 系列设备的 SPC 有两个 SPU。

  一个机箱中可以安装多个 SPC。

  SPU 主要执行以下任务：

  • 它会管理会话，并将安全功能和其他服务应用于数据包。

  • 它应用基于数据包的无状态防火墙过滤器、分类符和流量调整器。

  • 如果数据包的会话不存在，则 SPU 会向执行搜索数据包会话的 NPU 发送请求消息，以定向它为其添加会话。

系统的这些离散、协作部分存储信息，用于识别数据包流中是否存在会话，以及与数据包匹配的信息，以确定它是否属于现有会话。

• 目的
• 行动