Traitement IPv6 basé sur les flux
Cette rubrique contient des informations sur le traitement de flux pour le trafic IPv6 et les sessions IPv6.
Flux avancé IPv6
IPv6 Advanced Flow ajoute la prise en charge IPv6 du pare-feu, du NAT et du NAT-PT, du multicast (liaison et transit locaux), de l’IPsec, de l’IDP, du framework JSF, du proxy TCP et du gestionnaire de session sur les pare-feu SRX Series. Les MIB ne sont pas utilisées dans le flux IPv6.
Afin d’éviter tout impact sur l’environnement IPv4 actuel, la sécurité IPv6 est utilisée. Si la sécurité IPv6 est activée, des sessions et des portes étendues sont allouées. Les champs d’adresse et les portes existants sont utilisés pour stocker l’index des sessions étendues ou des portes. Si la sécurité IPv6 est désactivée, les ressources liées à la sécurité IPv6 ne sont pas allouées.
Les nouveaux journaux sont utilisés pour le trafic de flux IPv6 afin d’éviter tout impact sur les performances du système IPv4 existant.
Dans la plupart des cas, le comportement et l’implémentation du flux avancé IPv6 sont identiques à ceux d’IPv4.
Les implémentations des sessions, des portes, des actions ip, du traitement du multithread, de la distribution, du verrouillage, de la synchronisation, de la sérialisation, de l’ordonnancement, de la mise en file d’attente des paquets, de la messagerie asynchrone, des problèmes de trafic IKE, de la vérification de l’intégrité et des files d’attente pour IPv6 sont similaires aux implémentations IPv4.
Certaines des différences sont expliquées ci-dessous :
Header Parse Le flux avancé IPv6 arrête l’analyse des en-têtes et interprète le paquet comme le paquet de protocole correspondant s’il rencontre les en-têtes d’extension suivants :
TCP/UDP
ESP/AH
ICMPv6
Le flux avancé IPv6 continue d’analyser les en-têtes s’il rencontre les en-têtes d’extension suivants :
Saut par saut
Routage et destination, fragment
IPv6 Advanced Flow interprète les paquets comme un paquet de protocole inconnu s’il rencontre l’en-tête No Next Header d’extension
Sanity Checks— IPv6 Advanced Flow prend en charge les contrôles d’intégrité suivants :
Longueur TCP
Longueur UDP
Saut par saut
Erreur de longueur des données IP
Vérifications d’intégrité de couche 3 (par exemple, la version IP et la longueur IP)
ICMPv6 Packets Dans le flux avancé IPv6, les paquets ICMPv6 partagent le même comportement que le trafic IPv6 normal, à quelques exceptions près :
Paquet ICMPv6 embarqué
Message MTU du chemin
Host Inbound and Outbound Traffic Le flux avancé IPv6 prend en charge tous les protocoles de routage et de gestion s’exécutant sur le moteur de routage (RE), y compris OSPF v3, RIPng, Telnet et SSH. Notez qu’aucune étiquette de flux n’est utilisée dans le flux.
Tunnel Traffic Le flux avancé IPv6 prend en charge les types de tunnels suivants :
IPv4 IP-IP
IPv4 GRE
IPv4 IPsec
Lite à double pile
Events and Logs Les journaux suivants concernent le trafic de flux lié à IPv6 :
RT_FLOW_IPVX_SESSION_DENY
RT_FLOW_IPVX_SESSION_CREATE
RT_FLOW_IPVX_SESSION_CLOSE
Présentation des sessions pour un flux IPv6
Cette rubrique donne une vue d’ensemble des sessions basées sur des flux.
La plupart des traitements de paquets ont lieu dans le contexte d’un flux, y compris la gestion des stratégies, des zones et de la plupart des écrans. Une session est créée pour le premier paquet d’un flux aux fins suivantes :
Pour stocker la plupart des mesures de sécurité à appliquer aux paquets du flux.
Pour mettre en cache des informations sur l’état du flux. Par exemple, les informations de journalisation et de comptage d’un flux sont mises en cache dans sa session. (En outre, certains écrans de pare-feu dynamiques s’appuient sur des valeurs seuils qui se rapportent à des sessions individuelles ou à l’ensemble des sessions.)
Allouer les ressources requises pour les fonctionnalités du flux.
Fournir un cadre pour des fonctionnalités telles que les passerelles de couche applicative (ALG).
Comprendre le traitement de flux IPv6 sur les appareils SRX5400, SRX5600 et SRX5800
Cette rubrique présente l’architecture des appareils SRX5400, SRX5600 et SRX5800. Le traitement des flux sur ces équipements est similaire à celui des pare-feu SRX Series de filiale.
Ces périphériques comprennent des cartes d’E/S (IOC) et des cartes de traitement des services (SPC) qui contiennent chacune des unités de traitement qui traitent un paquet lorsqu’il traverse l’appareil. Ces unités de traitement ont des responsabilités différentes.
Une unité de traitement de réseau (NPU) fonctionne sur un IOC. Un IOC possède une ou plusieurs NPU. Un NPU traite les paquets discrètement et assure des fonctions de gestion de flux de base.
Lorsqu’un paquet IPv6 arrive à un IOC, le processus de flux de paquets commence.
Le NPU effectue les vérifications d’intégrité IPv6 suivantes pour le paquet :
Pour l’en-tête de base IPv6, il effectue les vérifications d’en-tête suivantes :
Version. Il vérifie que l’en-tête spécifie IPv6 pour la version.
Longueur de la charge utile. Il vérifie la longueur de la charge utile pour s’assurer que la longueur combinée du paquet IPv6 et de l’en-tête de couche 2 est inférieure à la longueur de trame de couche 2.
Limite de saut. Il vérifie que la limite de saut ne spécifie pas 0 (zéro).
Vérifications d’adresses. Il vérifie que l’adresse IP source ne spécifie pas ::0 ou FF ::00 et que l’adresse IP de destination ne spécifie pas ::0 ou ::1.
Le NPU effectue des vérifications d’en-tête d’extension IPv6, notamment les suivantes :
Options saut par saut. Il vérifie qu’il s’agit du premier en-tête d’extension à suivre l’en-tête de base IPv6.
Extension de routage. Il vérifie qu’il n’existe qu’un seul en-tête d’extension de routage.
Options de destination. Il vérifie qu’il n’y a pas plus de deux en-têtes d’extension d’options de destination.
Fragment. Il vérifie qu’il n’y a qu’un seul en-tête de fragment.
Note:Le NPU traite tout autre en-tête d’extension comme un en-tête de couche 4.
Le NPU effectue des vérifications de protocole TCP, UDP et ICMP6 de couche 4, notamment les suivantes :
UDP. Il vérifie que les paquets IP de longueur utile, autres qu’un paquet de premier fragment, ont une longueur d’au moins 8 octets.
TCP. Il vérifie que les paquets IP de longueur utile, autres qu’un paquet de premier fragment, ont une longueur d’au moins 20 octets.
ICMPv6. Il vérifie que les paquets IP de longueur utile, autres qu’un paquet de premier fragment, ont une longueur d’au moins 8 octets.
Si le paquet spécifie un protocole TCP ou UDP, le NPU crée un tuple à partir des données d’en-tête du paquet à l’aide des informations suivantes :
Adresse IP source
Adresse IP de destination
Port source
Port de destination
Protocole
Identifiant de routeur virtuel (VRID)
L’appareil recherche le VRID à partir d’une table VRID.
Pour les paquets ICMPv6 (Internet Control Message Protocol version 6), le tuple contient les mêmes informations que celles utilisées pour la clé de recherche TCP et UDP, à l’exception des champs de port source et de destination. Les champs du port source et du port de destination sont remplacés par les informations suivantes, extraites du paquet ICMPv6 :
Pour les paquets d’erreur ICMP : le modèle « 0x00010001 »
Pour les paquets d’informations ICMP : le type, ou le code, identificateur de champ
Pour les paquets avec un en-tête d’authentification (AH) ou un en-tête ESP (Encapsulating Security Payload), la clé de recherche est la même que celle utilisée pour le tuple TCP et UDP, à l’exception des champs de port source et de destination. Dans ce cas, la valeur du champ SPI (Security Parameter Index) est utilisée à la place des ports source et de destination. Pour l’en-tête ESP (Encapsulating Security Payload) et l’en-tête d’authentification (AH), avant les améliorations apportées à l’architecture des points centraux, il est haché par le champ 3-tuple et le champ SPI (Security Parameter Index), après les améliorations apportées à l’architecture des points centraux, il est haché par une paire IP.
S’il existe une session pour le flux du paquet, le NPU envoie le paquet au SPU qui gère la session.
S’il n’existe pas de session correspondante,
Le NPU envoie les informations sur les paquets au point central, ce qui crée une session en attente.
Le point central sélectionne une SPU pour traiter le paquet et créer des sessions pour celui-ci.
L’USP envoie ensuite des messages de création de session au point central et aux NPU d’entrée et de sortie, en leur demandant de créer une session pour le flux de paquets.
Un point central, qui peut fonctionner sur un SPU dédié, ou partager les ressources d’un SPU s’il n’y a qu’un seul SPU. Un point central s’occupe de l’arbitrage et de l’allocation des ressources, et il distribue les sessions de manière intelligente. Le point central assigne un SPU à utiliser pour une session particulière lorsque le SPU traite le premier paquet de son flux.
Pour les équipements de la gamme SRX5000, l’architecture des points centraux est divisée en deux modules : le point central de l’application et le point central distribué (DCP). App-CP est responsable de la gestion globale des ressources et de l’équilibrage de charge, tandis que le DCP est responsable de l’identification du trafic (correspondance de session globale). La fonctionnalité App-CP s’exécute sur le SPU du point central dédié, tandis que la fonctionnalité DCP est distribuée aux autres SPU.
Une ou plusieurs SPU qui s’exécutent sur une carte de traitement des services (SPC). Tous les services basés sur les flux d’un paquet sont exécutés sur une seule SPU, dans le contexte d’une session configurée pour le flux de paquets.
Le SPC des équipements de la gamme SRX5000 comporte deux SPU.
Plusieurs SPC peuvent être installés dans un châssis.
Principalement, une SPU effectue les tâches suivantes :
Il gère la session et applique des fonctionnalités de sécurité et d’autres services au paquet.
Il applique des filtres, des classificateurs et des modélisateurs de trafic sans état basés sur les paquets.
Si une session n’existe pas encore pour un paquet, le SPU envoie un message de requête au NPU qui a effectué la recherche de la session du paquet, pour lui demander d’ajouter une session pour celui-ci.
Ces parties discrètes et coopérantes du système stockent les informations permettant d’identifier l’existence ou non d’une session pour un flux de paquets et les informations par rapport auxquelles un paquet est apparié pour déterminer s’il appartient à une session existante.
Activation du traitement basé sur les flux pour le trafic IPv6
Vous disposez des options suivantes pour gérer le trafic IPv6 :
Drop (Abandonner) : ne pas transférer de paquets IPv6.
Transfert basé sur les paquets : ne créez pas de session et ne traitez pas en fonction des fonctionnalités basées sur les paquets uniquement (y compris les filtres de pare-feu et la classe de service).
Transfert basé sur les flux : créez une session et procédez en fonction des fonctionnalités basées sur les paquets (y compris les filtres de pare-feu et la classe de service), mais aussi des fonctionnalités de sécurité basées sur les flux, telles que les écrans et la stratégie de sécurité du pare-feu. Il s’agit du comportement par défaut.
Pour activer le traitement basé sur les flux pour le trafic IPv6, modifiez l’instruction mode au niveau de la hiérarchie [edit security forwarding-options family inet6] :
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
L’exemple suivant montre les commandes CLI que vous utilisez pour configurer le transfert pour le trafic IPv6 :
[edit]
user@host# set security forwarding-options family inet6 mode ?
Possible completions:
drop Disable forwarding
flow-based Enable flow-based forwarding
packet-based Enable packet-based forwarding
[edit]
user@host# set security forwarding-options family inet6 mode flow-based
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Si vous modifiez le mode de l’option de transfert pour IPv6, vous devrez peut-être effectuer un redémarrage pour initialiser la modification de configuration. Le Tableau 1 récapitule l’état de l’appareil lors d’un changement de configuration.
Changement de configuration |
Avertissement de commit |
Redémarrage requis |
Impact sur le trafic existant avant le redémarrage |
Impact sur le nouveau trafic avant le redémarrage |
|---|---|---|---|---|
Passer à un modèle basé sur les flux |
Oui |
Oui |
Tomber |
Tomber |
Drop vers une approche basée sur les paquets |
Non |
Non |
Basé sur les paquets |
Basé sur les paquets |
Basé sur les flux vers les paquets |
Oui |
Oui |
Aucun |
Sessions de flux créées |
Suppression basée sur les flux |
Oui |
Oui |
Aucun |
Sessions de flux créées |
Basé sur les paquets vers basé sur les flux |
Oui |
Oui |
Basé sur les paquets |
Basé sur les paquets |
Abandon basé sur les paquets |
Non |
Non |
Tomber |
Tomber |
Traitement basé sur les flux du trafic IPv6 sur les équipements de sécurité
Le mode de traitement basé sur les flux est nécessaire pour que les fonctionnalités de sécurité telles que les zones, les écrans et les politiques de pare-feu fonctionnent. Par défaut, le pare-feu SRX Series est activé pour le transfert basé sur les flux du trafic IPv6 sur tous les équipements, à l’exception de la gamme SRX300 et des équipements SRX550M qui sont configurés pour le mode d’abandon. À partir de Junos OS version 15.1X49-D70 et Junos OS version 17.3R1, pour les périphériques SRX1500 series, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 et Pare-feu virtuel vSRX, vous n’avez pas besoin de redémarrer le périphérique lorsque vous basculez entre le mode flux, le mode paquet et le mode drop. Pour les équipements SRX300 Series et SRX550M, vous devez redémarrer l’équipement lorsque vous basculez entre le mode flux, le mode paquet et le mode abandon.
SRX300 Series and the SRX550M Devices
Lorsque IPv6 est configuré sur les SRX300 Series et les SRX550M périphériques, le comportement par défaut est défini sur le mode d’abandon en raison de contraintes de mémoire. Dans ce cas, vous devez redémarrer le périphérique après avoir modifié le mode de traitement du mode de dépôt par défaut au mode de traitement basé sur les flux ou au mode de traitement basé sur les paquets, c’est-à-dire entre les modes sur ces périphériques.
Pour le traitement en mode drop, le trafic est abandonné directement, il n’est pas transféré. Il diffère du traitement en mode paquet pour lequel le trafic est géré mais aucun processus de sécurité n’est appliqué.
Pour traiter le trafic IPv6 sur les SRX300 Series et les équipements SRX550M, vous devez configurer des adresses IPv6 pour les interfaces de transit qui reçoivent et transmettent le trafic. Pour plus d’informations sur la famille de protocoles inet6 et les procédures de configuration des adresses IPv6 pour les interfaces.
Configuring an SRX Series Device as a Border Router
Lorsqu’un pare-feu SRX Series, quel qu’il soit, est activé pour le traitement basé sur les flux ou le mode drop, pour configurer l’appareil en tant que routeur de bordure, vous devez changer le mode en traitement basé sur les paquets pour MPLS. Dans ce cas, pour configurer le pare-feu SRX Series en mode paquet pour MPLS, utilisez l’instruction set security forwarding-options family mpls mode packet-based .
Comme mentionné, pour les équipements SRX300 Series et les SRX550M, chaque fois que vous changez de mode de traitement, vous devez redémarrer l’équipement.
Enabling Flow-Based Processing for IPv6 Traffic on SRX300 Series and SRX550M Devices
Pour activer le transfert basé sur les flux pour le trafic IPv6 sur les SRX300 Series et les équipements SRX550M, modifiez le mode au niveau de la hiérarchie [edit security forwarding-options family inet6] :
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
Pour configurer le transfert du trafic IPv6 sur SRX300 Series ou un équipement SRX500M :
Pour les équipements SRX300 Series et SRX500M, l’équipement rejette les paquets d’en-tête de routage IPv6 de type 0 (RH0).
Utilisation de filtres pour afficher les informations de session et de flux IPv6 sur les passerelles de services SRX Series
But
Vous pouvez afficher des informations de flux et de session sur une ou plusieurs sessions à l’aide de la show security flow session commande. Les sessions IPv6 sont incluses dans les statistiques agrégées.
Vous pouvez utiliser les filtres suivants à l’aide de la show security flow session commande : application, destination-port, destination-prefix, family, idp, interface, nat, protocol, resource-manager, session-identifier, source-port, source-prefix et tunnel.
À l’exception du filtre d’identificateur de session, la sortie de tous les autres filtres peut être visualisée en mode bref, résumé et étendu. Le mode bref est le mode par défaut. La sortie du filtre d’identificateur de session ne peut être visualisée qu’en mode bref.
Vous pouvez utiliser les mêmes options de filtre avec la clear security flow session commande pour mettre fin à des sessions.
Action
Les exemples suivants montrent comment utiliser des filtres liés à IPv6 pour afficher des résumés et des détails pour les sessions IPv6.
À partir de Junos OS version 15.1X49-D30 et de Junos OS version 17.3R1, un grand nombre de ces résumés de session incluent des ID de session CP.
Rapport récapitulatif filtré en fonction de la famille
root> show security flow session summary family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session summary family inet6 Flow Sessions on FPC10 PIC1: Valid sessions: 2 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 2 Flow Sessions on FPC10 PIC2: Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1 Flow Sessions on FPC10 PIC3: Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 1 Sessions in other states: 0 Total sessions: 1
Rapport détaillé filtré en fonction de la famille
root> show security flow session family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session family inet6 Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Session ID: 430000026, Policy name: default-policy-00/2, Timeout: 1794, Valid In: 2001:db8::10/64712 -> 2001:db8::4/21;tcp If: ge-7/1/0.0, Pkts: 8, Bytes: 562, CP Session ID: 430000025 Out: 2001:db8::4/21 --> 2001:db8::10/64712;tcp, If: ge-7/1/1.0, Pkts: 12, Bytes: 1014, CP Session ID: 430000025 Total sessions: 1
Rapport filtré en fonction de la famille
root> show security flow session family inet brief Flow Sessions on FPC10 PIC1: Session ID: 410000031, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/3 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000039 Out: 198.51.100.11/43053 --> 203.0.113.8/3;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 410000039 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000034, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/4 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000041 Out: 198.51.100.11/43053 --> 203.0.113.8/4;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000041 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000042, Policy name: default-policy-00/2, Timeout: 44, Valid In: 203.0.113.8/2 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000041 Out: 198.51.100.11/43053 --> 203.0.113.8/2;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000041 Total sessions: 1 2001:dbf8::6:2/32
Rapport détaillé filtré basé sur un préfixe de source IPv6
root> show security flow session source-prefix 2001:dbf8::
Flow Sessions on FPC10 PIC1:
Session ID: 410000066, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/3 > 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8:5::2/323;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Session ID: 410000068, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8::6:2/4;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Total sessions: 2
Flow Sessions on FPC10 PIC2:
Session ID: 420000067, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 420000080
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/4 ;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000080
Total sessions: 1
Flow Sessions on FPC10 PIC3:
Session ID: 430000077, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/3 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000075
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/3;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000075
Session ID: 430000078, Policy name: default-policy-00/2, Timeout: 30, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::3/6702, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000076
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/5;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000076
Session ID: 430000079, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::1/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Out: 2001:dbf8:5::1/7214 --> 2001:dbf8::6:2/5;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Total sessions: 3
Rapport détaillé à filtres multiples en fonction de la famille, du protocole et du préfixe de source
root> show security flow session family inet protocol icmp source-prefix 2001:db8:: Flow Sessions on FPC10 PIC1: Session ID: 410000074, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/1 --> 2001:dbf8:8::2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Out: 2001:dbf8:8::2 --> 2001:dbf8::6:2/1;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000075, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/3 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/3;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000085, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/4 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/4;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Total sessions: 1
Effacement de toutes les sessions, y compris les sessions IPv6
root> clear security flow session all This command may terminate the current session too. Continue? [yes,no] (no) yes 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
Effacement uniquement des sessions IPv6
root> clear security flow session family ? Possible completions: inet Clear IPv4 sessions inet6 Clear IPv6/IPv6-NATPT sessions root> clear security flow session family inet6 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
Tableau de l’historique des modifications
La prise en charge des fonctionnalités est déterminée par la plateforme et la version que vous utilisez. Utilisez l’explorateur de fonctionnalités pour déterminer si une fonctionnalité est prise en charge sur votre plateforme.