Überblick über IPv6-Datenflussbasierte Verarbeitung

Jedes IPv6-Paket hat einen mindestens 40 Byte (320 Bit) langen Basispaket-Header. Der IPv6-Paketheader verfügt optional über Erweiterungsheader, die die zusätzlichen Informationen zu den Netzwerkgeräten enthalten.

Bei IPv6-Paketen analysiert die Datenflussverarbeitung die Erweiterungsheader und Transportschichtheader auf folgende Weise:

• Wenn die Software auf einen TCP-, UDP-, ESP-, AH- oder ICMPv6-Header stößt, analysiert sie den Header und geht davon aus, dass die Paketnutzlast dem angegebenen Protokolltyp entspricht.

• Wenn die Software auf einen Hop-by-Hop-Header, einen Routing- und Ziel-Header oder einen Fragment-Header stößt, wird der nächste Erweiterungsheader weiter analysiert.

• Wenn sie auf den Erweiterungsheader no-next-header stößt, erkennt die Software, dass es sich bei dem Paket um ein unbekanntes Protokoll handelt (Protokoll ist gleich 0).

• Bei anderen Erweiterungs-Headern analysiert die Software den Header und identifiziert das Paket als zu dem Protokoll gehörend, das durch den Erweiterungs-Header angegeben wird.

IPv6-Erweiterungsheader enthalten zusätzliche Informationen, die von Netzwerkgeräten (z. B. Routern, Switches und Endpunkthosts) verwendet werden, um zu entscheiden, wie ein IPv6-Paket weitergeleitet oder verarbeitet werden soll. Die Länge jedes Erweiterungsheaders ist ein ganzzahliges Vielfaches von 8 Oktetten. Dadurch können nachfolgende Erweiterungsheader 8-Oktett-Strukturen verwenden.

Jede Kopfzeile, auf die eine Erweiterungskopfzeile folgt, enthält einen Next Header-Wert, der den Erweiterungsheadertyp identifiziert. Erweiterungsheader können in einem Paket zwischen dem IPv6-Header und dem Header der oberen Ebene platziert werden. Abbildung 1 zeigt ein IPv6-Paket mit dem Hop-by-Hop-Optionsheader. Ebenso kann ein IPv6-Header keinen, einen oder mehrere Erweiterungsheader enthalten, die jeweils durch das Feld Next Header des vorhergehenden Headers identifiziert werden. Erweiterungsheader folgen immer dem grundlegenden IPv6-Header in der in Tabelle 1 dargestellten Reihenfolge:

Tabelle 1: IPv6-Erweiterungsheader

Name des Headers	Zweck	Nächster Header-Wert
Hop-by-Hop-Optionen	Gibt Übermittlungsparameter an jedem Hop auf dem Pfad zum Zielhost an. Eine Hop-by-Hop-Option kann nur nach dem IPv6-Basisheader angezeigt werden. Wenn es verwendet wird, sollte es der erste Erweiterungsheader sein. Er kann nicht nach einem anderen Erweiterungsheader angezeigt werden.	0
Zieloptionen	Gibt Paketübermittlungsparameter für zwischengeschaltete Zielgeräte oder den endgültigen Zielhost an. Wenn ein Paket diesen Header verwendet.	60
Routing	Definiert striktes Quell-Routing und loses Source-Routing für das Paket. (Bei striktem Quell-Routing muss jedes zwischengeschaltete Zielgerät einen einzigen Hop entfernt sein. Bei losem Source-Routing können Zwischenzielgeräte einen oder mehrere Hops entfernt sein.)	43
Fragment	Gibt an, wie IPv6-Fragmentierungs- und Reassemblierungsdienste ausgeführt werden. Ein Quellknoten verwendet den Fragmenterweiterungsheader, um dem Zielknoten die Größe des fragmentierten Pakets mitzuteilen, damit der Zielknoten das Paket wieder zusammensetzen kann.	44
Authentifizierung	Bietet Authentifizierung, Datenintegrität und Anti-Replay-Schutz.	51
Kapselung der Sicherheitsnutzlast	Bietet Datenvertraulichkeit, Datenauthentifizierung und Anti-Replay-Schutz für ESP-Pakete (Encapsulated Security Payload).	50
Ziel-IP-Adresse	Identifiziert das Hostgerät oder die Schnittstelle auf einem Knoten, an das das IPv6-Paket gesendet werden soll. Die Zieladresse kann zweimal angezeigt werden, die erste Instanz nach dem Hop-Limit nach der Quell-IP-Adresse und die zweite Instanz nach dem letzten Erweiterungsheader.	60

Weitere Informationen zu IPv6 finden Sie unter RFC2460.

In diesem Thema werden das Internet Control Message Protocol (ICMP), ICMP-Nachrichten und deren Verwendung durch Junos OS für Firewalls der SRX-Serie erläutert.

ICMP bietet ein Framework für die Meldung von Paketverarbeitungsfehlern, für Diagnosezwecke und für implementierungsspezifische Funktionen. ICMP-Fehlermeldungen ermöglichen es, dass ein Knoten einen anderen Knoten darüber informiert, dass bei der Datenübertragung etwas schief gelaufen ist. Als die IP-Version 6 (IPv6) definiert wurde, waren die Unterschiede zwischen IP-Version 4 (IPv4) und IP-Version so groß, dass eine neue Version von ICMP erforderlich war.

Jeder ICMPv6-Nachricht sind ein IPv6-Header und null oder mehr IPv6-Erweiterungsheader vorangestellt. Der ICMPv6-Header wird durch den Next-Header-Wert 58 im unmittelbar vorhergehenden Header identifiziert. Dies unterscheidet sich von dem Wert, der zur Identifizierung von ICMP für IPv4 verwendet wird. Alle ICMPv6-Fehlermeldungen enthalten 32 Bit typspezifische Daten, die dem Paketempfänger helfen, das eingebettete aufrufende Paket zu finden.

Die meisten ICMPv6-Pakete weisen die gleichen Eigenschaften und das gleiche Verhalten wie normale IPv6-Pakete auf, und das Junos OS-Flow-Modul verarbeitet sie durch die Verarbeitung des ersten Pfads und des schnellen Pfads auf die gleiche Weise wie normale IPv6-Pakete. Tabelle 2 zeigt die eingebetteten ICMPv6-Pakettypen, die das Flow-Modul anders verarbeitet als normale ICMPv6-Pakete.

Für diese Pakete verwendet das Datenstrommodul ein Tupel, das es aus dem eingebetteten ICMPv6-Paket erstellt, um nach einer übereinstimmenden Sitzung zu suchen. Er verarbeitet das Paket weiter, ohne die maximale Übertragungseinheit (Maximum Transmission Unit, MTU) zu ändern, bis er eine übereinstimmende Sitzung findet, es sei denn, er erhält eine ICMPv6-Meldung "Paket zu groß" für die Schnittstelle. In diesem Fall wird die MTU-Größe für diese Schnittstelle geändert. Wenn das Flow-Modul keine passende Sitzung findet oder keinen gültigen IPv6-Header von der eingebetteten Nutzlast abrufen kann, verwirft es das Paket.

Anmerkung:

Eine Packet Too Big-Nachricht ist die einzige Art von ICMPv6-Paket, die dazu führt, dass das Flow-Modul eine Schnittstelle ändert.

Tabelle 2: ICMPv6-Pakete, die von Junos OS anders verarbeitet werden als andere ICMPv6-Pakete

Nachricht	Bedeutung
01-Ziel nicht erreichbar	Wenn ein Paket aufgrund eines Problems mit der Art und Weise, wie es gesendet wird, nicht zugestellt werden kann, ist es nützlich, über einen Feedback-Mechanismus zu verfügen, der die Quelle über das Problem informieren kann, einschließlich des Grundes, warum die Zustellung des Pakets fehlgeschlagen ist. Bei IPv6 dient die Meldung "Ziel nicht erreichbar" diesem Zweck. Jede Nachricht enthält einen Code, der die Art des Problems angibt, das dazu geführt hat, dass die Paketzustellung fehlgeschlagen ist. Es enthält auch das gesamte oder einen Teil des Pakets, das nicht zugestellt werden konnte, um dem Quellgerät bei der Lösung des Problems zu helfen. Wenn das Flow-Modul auf ein Destination Unreachable ICMP-Paket stößt, dessen eingebettete Paket-Header-Daten mit den 5-Tupel-Daten für eine Sitzung übereinstimmen, beendet die Software die Sitzung.
02-Paket zu groß	Wenn das Flow-Modul die für es vorgesehene ICMPv6-Meldung "Packet Too Big" empfängt, sendet das Flow-Modul das Paket an den ICMP-Protokollstapel in der Routing-Engine, um den Pfad-MTU-Erkennungsprozess (Path Maximum Transmission Unit) einzuleiten. Wenn sich die Meldung "Paket zu groß" nicht auf das Gerät bezieht, sondern um ein Transitpaket, versucht das Gerät, die eingebetteten 5-Tupel-Daten mit einer Sitzung abzugleichen. Wenn eine übereinstimmende Sitzung vorhanden ist, übermittelt das Gerät sie an den Quellknoten. Wenn keine übereinstimmende Sitzung vorhanden ist, verwirft das Gerät das Paket Anmerkung: Eine Packet Too Big-Nachricht ist die einzige Art von ICMPv6-Paket, die dazu führt, dass das Flow-Modul eine Schnittstelle ändert.
03-fach überschritten	Wenn das Datenflussmodul ein Paket empfängt, das nicht zugestellt werden kann, weil es die im Hop-by-Hop-Feld des Basisheaders angegebene Hop-Anzahl überschritten hat, sendet es diese Nachricht, um den Quellknoten des Pakets darüber zu informieren, dass das Paket aus diesem Grund verworfen wurde.
04-Parameter-Problem	Wenn das Gerät ein Problem mit einem Feld im IPv6-Header oder in den Erweiterungsheadern findet, das es ihm unmöglich macht, das Paket zu verarbeiten, verwirft die Software es und sendet diese ICMPv6-Nachricht an den Quellknoten des Pakets, in der Typ und Ort des Problems angegeben werden.