IPv6-Datenflussbasierte Verarbeitung
Dieses Thema enthält Informationen zur Datenstromverarbeitung für IPv6-Datenverkehr und IPv6-Sitzungen.
Erweiterter IPv6-Datenstrom
IPv6 Advanced Flow bietet IPv6-Unterstützung für Firewalls, NAT, NAT-PT, Multicast (lokale Verbindung und Transit), IPsec, IDP, JSF-Framework, TCP-Proxy und Sitzungsmanager auf Firewalls der SRX-Serie. MIBs werden im IPv6-Datenfluss nicht verwendet.
Um die Auswirkungen auf die aktuelle IPv4-Umgebung zu vermeiden, wird IPv6-Sicherheit verwendet. Wenn die IPv6-Sicherheit aktiviert ist, werden erweiterte Sitzungen und Gates zugewiesen. Die vorhandenen Adressfelder und Gates werden verwendet, um den Index von erweiterten Sitzungen oder Gates zu speichern. Wenn die IPv6-Sicherheit deaktiviert ist, werden IPv6-sicherheitsbezogene Ressourcen nicht zugeordnet.
Neue Protokolle werden für IPv6-Datenströme verwendet, um Auswirkungen auf die Leistung im vorhandenen IPv4-System zu vermeiden.
Das Verhalten und die Implementierung des erweiterten IPv6-Datenstroms sind in den meisten Fällen identisch mit denen von IPv4.
Die Implementierungen von Sitzungen, Gates, IP-Aktionen, Verarbeitung von Multithread, Verteilung, Sperren, Synchronisation, Serialisierung, Reihenfolge, Paketwarteschlangen, asynchronem Messaging, IKE-Datenverkehrsproblemen, Plausibilitätsprüfung und Warteschlangen für IPv6 ähneln IPv4-Implementierungen.
Einige der Unterschiede werden im Folgenden erläutert:
Header Parse IPv6 Advanced Flow beendet die Analyse der Header und interpretiert das Paket als das entsprechende Protokollpaket, wenn es auf die folgenden Erweiterungsheader trifft:
TCP/UDP
ESP/AH
ICMPv6
Der erweiterte IPv6-Datenfluss setzt die Analyse von Headern fort, wenn er auf die folgenden Erweiterungsheader stößt:
Hop-by-Hop
Routing und Ziel, Fragment
IPv6 Advanced Flow interpretiert die Pakete als unbekanntes Protokollpaket, wenn es auf den Erweiterungsheader No Next Header trifft
Sanity Checks— IPv6 Advanced Flow unterstützt die folgenden Plausibilitätsprüfungen:
TCP-Länge
UDP-Länge
Hop-by-Hop
Fehler bei der IP-Datenlänge
Layer-3-Plausibilitätsprüfungen (z. B. IP-Version und IP-Länge)
ICMPv6 Packets Im erweiterten IPv6-Datenfluss verhalten sich die ICMPv6-Pakete genauso wie normaler IPv6-Datenverkehr mit den folgenden Ausnahmen:
Eingebettetes ICMPv6-Paket
Pfad-MTU-Meldung
Host Inbound and Outbound Traffic IPv6 Advanced Flow unterstützt alle Routen- und Verwaltungsprotokolle, die auf der Routing-Engine (RE) ausgeführt werden, einschließlich OSPF v3, RIPng, Telnet und SSH. Beachten Sie, dass in der Partie keine Partiebeschriftung verwendet wird.
Tunnel Traffic IPv6 Advanced Flow unterstützt die folgenden Tunneltypen:
IPv4 IP-IP
IPv4 GRE
IPv4-IPsec
Dual-Stack Lite
Events and Logs Die folgenden Protokolle beziehen sich auf IPv6-bezogenen Datenverkehrsdatenverkehr:
RT_FLOW_IPVX_SESSION_DENY
RT_FLOW_IPVX_SESSION_CREATE
RT_FLOW_IPVX_SESSION_CLOSE
Grundlegendes zu Sitzungen für IPv6-Datenfluss
Dieses Thema bietet eine Übersicht über ablaufbasierte Sitzungen.
Der größte Teil der Paketverarbeitung erfolgt im Kontext eines Datenstroms, einschließlich der Verwaltung von Richtlinien, Zonen und den meisten Bildschirmen. Für das erste Paket eines Datenstroms wird zu folgenden Zwecken eine Sitzung erstellt:
Speichern der meisten Sicherheitsmaßnahmen, die auf die Pakete des Datenflusses angewendet werden sollen.
Zum Zwischenspeichern von Informationen über den Status des Schemas. Beispielsweise werden Protokollierungs- und Zählinformationen für ein Schema in seiner Sitzung zwischengespeichert. (Außerdem basieren einige zustandsbehaftete Firewallbildschirme auf Schwellenwerten, die sich auf einzelne Sitzungen oder auf alle Sitzungen beziehen.)
Zum Zuordnen von Ressourcen, die für Features für das Schema erforderlich sind.
Bereitstellen eines Frameworks für Features wie Application Layer Gateways (ALGs).
Grundlegendes zur IPv6-Datenflussverarbeitung auf SRX5400-, SRX5600- und SRX5800 Geräten
In diesem Thema wird die Architektur für die SRX5400-, SRX5600- und SRX5800 Geräte vorgestellt. Die Datenstromverarbeitung auf diesen Geräten ähnelt der auf Zweigstellen-Firewalls der SRX-Serie.
Zu diesen Geräten gehören E/A-Karten (IOCs) und Services Processing Cards (SPCs), die jeweils Verarbeitungseinheiten enthalten, die ein Paket verarbeiten, während es das Gerät durchläuft. Diese Verarbeitungseinheiten haben unterschiedliche Zuständigkeiten.
Eine Network Processing Unit (NPU) wird auf einem IOC ausgeführt. Ein IOC verfügt über eine oder mehrere NPUs. Eine NPU verarbeitet Pakete diskret und führt grundlegende Datenstrommanagementfunktionen aus.
Wenn ein IPv6-Paket bei einem IOC eintrifft, beginnt der Paketflussprozess.
Die NPU führt die folgenden IPv6-Plausibilitätsprüfungen für das Paket durch:
Für den IPv6-Basisheader werden die folgenden Headerüberprüfungen durchgeführt:
Version. Es wird überprüft, ob der Header IPv6 für die Version angibt.
Länge der Nutzlast. Es überprüft die Länge der Nutzlast, um sicherzustellen, dass die kombinierte Länge des IPv6-Pakets und des Layer-2-Headers kürzer als die Layer-2-Framelänge ist.
Hopfen-Limit. Es wird überprüft, ob das Hop-Limit nicht 0 (null) angibt.
Adress-Prüfungen. Es wird überprüft, ob die Quell-IP-Adresse nicht ::0 oder FF::00 und die Ziel-IP-Adresse nicht ::0 oder ::1 angibt.
Die NPU führt IPv6-Erweiterungs-Header-Prüfungen durch, einschließlich der folgenden:
Hop-by-Hop-Optionen. Es wird überprüft, ob dies der erste Erweiterungsheader ist, der dem IPv6-Basisheader folgt.
Routing-Erweiterung. Es wird überprüft, ob nur ein Routingerweiterungsheader vorhanden ist.
Zieloptionen. Es wird überprüft, ob nicht mehr als zwei Erweiterungsheader für Zieloptionen enthalten sind.
Fragment. Es wird überprüft, ob nur ein Fragmentheader vorhanden ist.
Anmerkung:Die NPU behandelt jeden anderen Erweiterungsheader als Layer-4-Header.
Die NPU führt Layer-4-TCP-, UDP- und ICMP6-Protokollprüfungen durch, einschließlich der folgenden:
UDP. Es wird überprüft, ob Pakete mit IP-Nutzlastlänge, mit Ausnahme eines Pakets mit der ersten Fragmentierung, mindestens 8 Byte lang sind.
TCP. Es wird überprüft, ob Pakete mit IP-Nutzlastlänge, mit Ausnahme von Paketen mit der ersten Fragmentierung, mindestens 20 Byte lang sind.
ICMPv6. Es wird überprüft, ob Pakete mit IP-Nutzlastlänge, mit Ausnahme eines Pakets mit der ersten Fragmentierung, mindestens 8 Byte lang sind.
Wenn das Paket ein TCP- oder UDP-Protokoll angibt, erstellt die NPU ein Tupel aus den Paketheaderdaten unter Verwendung der folgenden Informationen:
Quell-IP-Adresse
Ziel-IP-Adresse
Quell-Port
Zielhafen
Protokoll
Virtuelle Router-Kennung (VRID)
Das Gerät sucht die VRID aus einer VRID-Tabelle.
Bei ICMPv6-Paketen (Internet Control Message Protocol Version 6) enthält das Tupel dieselben Informationen wie für den TCP- und den UDP-Suchschlüssel, mit Ausnahme der Felder für den Quell- und Zielport. Die Felder für den Quell- und Zielport werden durch die folgenden Informationen ersetzt, die aus dem ICMPv6-Paket extrahiert wurden:
Für ICMP-Fehlerpakete: Das Muster "0x00010001"
Für ICMP-Informationspakete: Der Typ oder Code, die Feldkennung
Bei Paketen mit einem Authentication Header (AH) oder einem Encapsulating Security Payload (ESP)-Header ist der Suchschlüssel derselbe wie für das TCP- und das UDP-Tupel, mit Ausnahme der Felder für den Quell- und Zielport. In diesem Fall wird der SPI-Feldwert (Security Parameter Index) anstelle der Quell- und Zielports verwendet. Für ESP-Header (Encapsulating Security Payload) und Authentication Header (AH) wird vor Erweiterungen der Zentimeterpunktarchitektur ein Hashing durch das 3-Tupel und das Feld Sicherheitsparameterindex (SPI) vorgenommen, nach Erweiterungen der Zentimeterpunktarchitektur durch ein IP-Paar.
Wenn eine Sitzung für den Paketfluss vorhanden ist, sendet die NPU das Paket an die SPU, die die Sitzung verwaltet.
Wenn keine passende Sitzung vorhanden ist,
Die NPU sendet die Paketinformationen an den zentralen Punkt, der eine ausstehende Sitzung erstellt.
Der zentrale Punkt wählt eine SPU aus, um das Paket zu verarbeiten und Sitzungen dafür zu erstellen.
Die SPU sendet dann Sitzungserstellungsnachrichten an den zentralen Punkt und die ein- und ausgehenden NPUs und weist sie an, eine Sitzung für den Paketfluss zu erstellen.
Ein zentraler Punkt, der auf einer dedizierten SPU ausgeführt werden kann oder die Ressourcen einer SPU gemeinsam nutzen kann, wenn nur eine SPU vorhanden ist. Eine zentrale Stelle kümmert sich um die Schlichtung und Zuweisung von Ressourcen und verteilt die Sitzungen auf intelligente Weise. Der zentrale Punkt weist eine SPU zu, die für eine bestimmte Sitzung verwendet werden soll, wenn die SPU das erste Paket ihres Datenflusses verarbeitet.
Bei Geräten der SRX5000-Reihe ist die Architektur des zentralen Punktes in zwei Module unterteilt: den zentralen Punkt der Anwendung und den verteilten zentralen Punkt (DCP). Der App-CP ist für das globale Ressourcenmanagement und das Load Balancing zuständig, während der DCP für die Identifikation des Datenverkehrs (Global Session Matching) zuständig ist. Die App-CP-Funktionalität läuft auf der dedizierten zentralen Point-SPU, während die DCP-Funktionalität auf die restlichen SPUs verteilt wird.
Eine oder mehrere SPUs, die auf einer Services Processing Card (SPC) ausgeführt werden. Alle datenflussbasierten Dienste für ein Paket werden auf einer einzelnen SPU im Kontext einer Sitzung ausgeführt, die für den Paketfluss eingerichtet ist.
Die SPC für Geräte der SRX5000-Reihe verfügt über zwei SPUs.
In einem Chassis können mehrere SPCs verbaut werden.
In erster Linie führt eine SPU die folgenden Aufgaben aus:
Es verwaltet die Sitzung und wendet Sicherheitsfunktionen und andere Dienste auf das Paket an.
Es wendet paketbasierte, zustandslose Firewall-Filter, Klassifizierer und Traffic-Shaper an.
Wenn für ein Paket noch keine Sitzung vorhanden ist, sendet die SPU eine Anforderungsnachricht an die NPU, die die Suche nach der Sitzung des Pakets durchgeführt hat, um sie anzuweisen, eine Sitzung für das Paket hinzuzufügen.
Diese diskreten, kooperierenden Teile des Systems speichern die Informationen, die identifizieren, ob eine Sitzung für einen Paketstrom vorhanden ist, und die Informationen, mit denen ein Paket abgeglichen wird, um zu bestimmen, ob es zu einer vorhandenen Sitzung gehört.
Aktivieren der datenflussbasierten Verarbeitung für IPv6-Datenverkehr
Sie haben die folgenden Optionen für die Verarbeitung des IPv6-Datenverkehrs:
Drop - IPv6-Pakete werden nicht weitergeleitet.
Paketbasierte Weiterleitung: Erstellen Sie keine Sitzung und verarbeiten Sie nicht nur gemäß paketbasierten Funktionen (einschließlich Firewall-Filter und Class of Service).
Flow-basierte Weiterleitung: Erstellen Sie eine Sitzung und verarbeiten Sie sie gemäß paketbasierten Funktionen (einschließlich Firewall-Filtern und Class-of-Service), aber auch Flow-basierten Sicherheitsfunktionen wie Bildschirmen und Firewall-Sicherheitsrichtlinien. Dies ist das Standardverhalten.
Um die flussbasierte Verarbeitung für IPv6-Datenverkehr zu aktivieren, ändern Sie die mode Anweisung auf der Hierarchieebene [edit security forwarding-options family inet6]:
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
Das folgende Beispiel zeigt die CLI-Befehle, mit denen Sie die Weiterleitung für IPv6-Datenverkehr konfigurieren:
[edit]
user@host# set security forwarding-options family inet6 mode ?
Possible completions:
drop Disable forwarding
flow-based Enable flow-based forwarding
packet-based Enable packet-based forwarding
[edit]
user@host# set security forwarding-options family inet6 mode flow-based
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Wenn Sie den Weiterleitungsoptionsmodus für IPv6 ändern, müssen Sie möglicherweise einen Neustart durchführen, um die Konfigurationsänderung zu initialisieren. Tabelle 1 fasst den Gerätestatus bei Konfigurationsänderungen zusammen.
Konfigurationsänderung |
Commit-Warnung |
Neustart erforderlich |
Auswirkungen auf den vorhandenen Datenverkehr vor dem Neustart |
Auswirkungen auf neuen Datenverkehr vor dem Neustart |
|---|---|---|---|---|
Drop-to-Flow-basiert |
Ja |
Ja |
Abgeworfen |
Abgeworfen |
Drop auf paketbasiert |
Nein |
Nein |
Paketbasiert |
Paketbasiert |
Flow-basiert zu paketbasiert |
Ja |
Ja |
Nichts |
Erstellte Flow-Sitzungen |
Flow-basiert zum Ablegen |
Ja |
Ja |
Nichts |
Erstellte Flow-Sitzungen |
Paketbasiert zu Flow-basiert |
Ja |
Ja |
Paketbasiert |
Paketbasiert |
Paketbasiert zum Verwerfen |
Nein |
Nein |
Abgeworfen |
Abgeworfen |
Flow-basierte Verarbeitung für IPv6-Datenverkehr auf Sicherheitsgeräten
Der Flow-basierte Verarbeitungsmodus ist erforderlich, damit Sicherheitsfunktionen wie Zonen, Bildschirme und Firewallrichtlinien funktionieren. Standardmäßig ist die Firewall der SRX-Serie für die datenstrombasierte Weiterleitung von IPv6-Datenverkehr auf allen Geräten aktiviert, mit Ausnahme der SRX300-Serie und SRX550M Geräten, die auf den Drop-Modus eingestellt sind. Ab Junos OS Version 15.1X49-D70 und Junos OS Version 17.3R1 müssen Sie für die Geräte der SRX1500-Serie, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 und vSRX Virtual Firewall das Gerät nicht neu starten, wenn Sie zwischen Flow-Modus, Paketmodus und Drop-Modus wechseln. Bei Geräten der SRX300-Serie und SRX550M müssen Sie das Gerät neu starten, wenn Sie zwischen Flow-Modus, Paketmodus und Drop-Modus wechseln.
SRX300 Series and the SRX550M Devices
Wenn IPv6 auf der SRX300-Serie und den SRX550M Geräten konfiguriert ist, ist das Standardverhalten aufgrund von Speicherbeschränkungen auf den Drop-Modus festgelegt. In diesem Fall müssen Sie das Gerät neu starten, nachdem Sie den Verarbeitungsmodus vom Standardwert für den Drop-Modus in den Flow-basierten Verarbeitungsmodus oder den paketbasierten Verarbeitungsmodus geändert haben, d. h. zwischen den Modi auf diesen Geräten.
Bei der Verarbeitung im Drop-Modus wird der Datenverkehr direkt verworfen, er wird nicht weitergeleitet. Sie unterscheidet sich von der Paketmodusverarbeitung, bei der der Datenverkehr verarbeitet, aber keine Sicherheitsprozesse angewendet werden.
Um IPv6-Datenverkehr auf der SRX300-Serie und den SRX550M Geräten zu verarbeiten, müssen Sie IPv6-Adressen für die Transitschnittstellen konfigurieren, die den Datenverkehr empfangen und weiterleiten. Informationen zur inet6-Protokollfamilie und Verfahren zur Konfiguration von IPv6-Adressen für Schnittstellen.
Configuring an SRX Series Device as a Border Router
Wenn eine Firewall der SRX-Serie für die datenflussbasierte Verarbeitung oder den Drop-Modus aktiviert ist, müssen Sie den Modus für MPLS in paketbasierte Verarbeitung ändern, um das Gerät als Border-Router zu konfigurieren. Verwenden Sie in diesem Fall die set security forwarding-options family mpls mode packet-based folgende Anweisung, um die Firewall der SRX-Serie für den Paketmodus für MPLS zu konfigurieren.
Wie bereits erwähnt, müssen Sie bei der SRX300-Serie und den SRX550M Geräten jedes Mal, wenn Sie den Verarbeitungsmodus ändern, das Gerät neu starten.
Enabling Flow-Based Processing for IPv6 Traffic on SRX300 Series and SRX550M Devices
Um die datenflussbasierte Weiterleitung für IPv6-Datenverkehr auf der SRX300-Serie und den SRX550M Geräten zu aktivieren, ändern Sie den Modus auf der Hierarchieebene [edit security forwarding-options family inet6]:
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
So konfigurieren Sie die Weiterleitung für IPv6-Datenverkehr auf der SRX300-Serie oder einem SRX500M Gerät:
Bei Geräten der SRX300-Serie und SRX500M verwirft das Gerät RH0-Pakete (IPv6 Typ 0 Routing Header).
Verwenden von Filtern zum Anzeigen von IPv6-Sitzungs- und Datenstrominformationen für Services Gateways der SRX-Serie
Zweck
Mit dem show security flow session Befehl können Sie Flow- und Sitzungsinformationen zu einer oder mehreren Sitzungen anzeigen. IPv6-Sitzungen werden in aggregierten Statistiken berücksichtigt.
Sie können die folgenden Filter mit dem show security flow session Befehl verwenden: application, destination-port, destination-prefix, family, idp, interface, nat, protocol, resource-manager, session-identifier, source-port, source-prefix und tunnel.
Mit Ausnahme des Sitzungsbezeichnerfilters kann die Ausgabe aller anderen Filter im Kurz-, Zusammenfassungs- und Ausführlichmodus angezeigt werden. Der Kurzzeitmodus ist der Standardmodus. Die Ausgabe des Sitzungsbezeichnerfilters kann nur im Kurzmodus angezeigt werden.
Sie können die gleichen Filteroptionen mit dem clear security flow session Befehl zum Beenden von Sitzungen verwenden.
Aktion
In den folgenden Beispielen wird gezeigt, wie Sie IPv6-bezogene Filter verwenden, um Zusammenfassungen und Details für IPv6-Sitzungen anzuzeigen.
Ab Junos OS Version 15.1X49-D30 und Junos OS Version 17.3R1 enthalten viele dieser Sitzungszusammenfassungen CP-Sitzungs-IDs.
Gefilterter zusammenfassender Bericht nach Familie
root> show security flow session summary family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session summary family inet6 Flow Sessions on FPC10 PIC1: Valid sessions: 2 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 2 Flow Sessions on FPC10 PIC2: Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1 Flow Sessions on FPC10 PIC3: Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 1 Sessions in other states: 0 Total sessions: 1
Gefilterter, detaillierter Bericht basierend auf der Familie
root> show security flow session family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session family inet6 Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Session ID: 430000026, Policy name: default-policy-00/2, Timeout: 1794, Valid In: 2001:db8::10/64712 -> 2001:db8::4/21;tcp If: ge-7/1/0.0, Pkts: 8, Bytes: 562, CP Session ID: 430000025 Out: 2001:db8::4/21 --> 2001:db8::10/64712;tcp, If: ge-7/1/1.0, Pkts: 12, Bytes: 1014, CP Session ID: 430000025 Total sessions: 1
Gefilterter Kurzbericht nach Familie
root> show security flow session family inet brief Flow Sessions on FPC10 PIC1: Session ID: 410000031, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/3 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000039 Out: 198.51.100.11/43053 --> 203.0.113.8/3;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 410000039 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000034, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/4 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000041 Out: 198.51.100.11/43053 --> 203.0.113.8/4;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000041 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000042, Policy name: default-policy-00/2, Timeout: 44, Valid In: 203.0.113.8/2 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000041 Out: 198.51.100.11/43053 --> 203.0.113.8/2;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000041 Total sessions: 1 2001:dbf8::6:2/32
Gefilterter, detaillierter Bericht basierend auf einem IPv6-Quellpräfix
root> show security flow session source-prefix 2001:dbf8::
Flow Sessions on FPC10 PIC1:
Session ID: 410000066, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/3 > 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8:5::2/323;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Session ID: 410000068, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8::6:2/4;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Total sessions: 2
Flow Sessions on FPC10 PIC2:
Session ID: 420000067, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 420000080
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/4 ;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000080
Total sessions: 1
Flow Sessions on FPC10 PIC3:
Session ID: 430000077, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/3 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000075
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/3;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000075
Session ID: 430000078, Policy name: default-policy-00/2, Timeout: 30, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::3/6702, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000076
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/5;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000076
Session ID: 430000079, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::1/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Out: 2001:dbf8:5::1/7214 --> 2001:dbf8::6:2/5;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Total sessions: 3
Mehrfach gefilterter detaillierter Bericht basierend auf Familie, Protokoll und Quellpräfix
root> show security flow session family inet protocol icmp source-prefix 2001:db8:: Flow Sessions on FPC10 PIC1: Session ID: 410000074, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/1 --> 2001:dbf8:8::2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Out: 2001:dbf8:8::2 --> 2001:dbf8::6:2/1;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000075, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/3 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/3;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000085, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/4 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/4;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Total sessions: 1
Löschen aller Sitzungen, einschließlich IPv6-Sitzungen
root> clear security flow session all This command may terminate the current session too. Continue? [yes,no] (no) yes 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
Nur IPv6-Sitzungen löschen
root> clear security flow session family ? Possible completions: inet Clear IPv4 sessions inet6 Clear IPv6/IPv6-NATPT sessions root> clear security flow session family inet6 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
Tabelle "Änderungshistorie"
Die Funktionsunterstützung hängt von der Plattform und der Version ab, die Sie verwenden. Verwenden Sie den Feature-Explorer , um festzustellen, ob ein Feature auf Ihrer Plattform unterstützt wird.