Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

IPv6 플로우 기반 처리

이 주제는 IPv6 트래픽 및 IPv6 세션의 플로우 처리에 대한 정보를 다룹니다.

IPv6 고급 플로우

IPv6 고급 플로우는 SRX 시리즈 방화벽의 방화벽, NAT, NAT-PT, 멀티캐스트(로컬 링크 및 전송), IPsec, IDP, JSF 프레임워크, TCP 프록시 및 세션 관리자에 대한 IPv6 지원을 추가합니다. 관리 정보 베이스(MIB)는 IPv6 플로우에서 사용되지 않습니다.

현재 IPv4 환경에 미치는 영향을 피하기 위해 IPv6 보안이 사용됩니다. IPv6 보안이 활성화되면 확장된 세션과 게이트가 할당됩니다. 기존 주소 필드와 게이트는 확장된 세션 또는 게이트의 인덱스를 저장하는 데 사용됩니다. IPv6 보안이 비활성화된 경우 IPv6 보안 관련 리소스가 할당되지 않습니다.

기존 IPv4 시스템의 성능에 미치는 영향을 방지하기 위해 IPv6 플로우 트래픽에 새 로그가 사용됩니다.

IPv6 고급 플로우의 동작 및 구현은 대부분의 경우 IPv4와 동일합니다.

IPv6에 대한 세션, 게이트, IP 작업, 다중 스레드 처리, 배포, 잠금, 동기화, 직렬화, 순서 지정, 패킷 대기열, 비동기 메시징, IKE(Internet Key Exchange) 트래픽 문제, 온전성 검사 및 대기열의 구현은 IPv4 구현과 유사합니다.

몇 가지 차이점은 아래에 설명되어 있습니다.

  • Header Parse IPv6 고급 플로우는 헤더 구문 분석을 중지하고 다음 확장 헤더가 발생할 경우 패킷을 해당 프로토콜 패킷으로 해석합니다.

    • TCP/UDP

    • ESP/AH

    • ICMPv6

    IPv6 고급 흐름은 다음 확장 헤더가 발생할 경우 헤더를 계속 구문 분석합니다.

    • 홉 바이 홉

    • 라우팅 및 대상, 단편화

    IPv6 고급 플로우는 확장 헤더 No Next Header 가 발생할 경우 패킷을 알 수 없는 프로토콜 패킷으로 해석합니다

  • Sanity Checks— IPv6 고급 플로우는 다음과 같은 온전성 검사를 지원합니다.

    • TCP 길이

    • UDP 길이

    • 홉 바이 홉(hop-by-hop)

    • IP 데이터 길이 오류

    • 레이어 3 온전성 검사(예: IP 버전 및 IP 길이)

    • ICMPv6 Packets IPv6 고급 플로우에서 ICMPv6 패킷은 다음과 같은 예외를 제외하고 일반 IPv6 트래픽과 동일한 동작을 공유합니다.

      • 임베디드 ICMPv6 패킷

      • 경로 MTU 메시지

  • Host Inbound and Outbound Traffic IPv6 고급 플로우는 OSPF v3, RIPng, Telnet 및 SSH를 포함하여 라우팅 엔진(RE)에서 실행되는 모든 경로 및 관리 프로토콜을 지원합니다. 흐름에는 흐름 레이블이 사용되지 않습니다.

  • Tunnel Traffic IPv6 고급 플로우는 다음 터널 유형을 지원합니다.

    • IPv4 IP-IP

    • IPv4 GRE

    • IPv4 IPsec

    • 듀얼 스택 라이트

  • Events and Logs 다음은 IPv6 관련 플로우 트래픽에 대한 로그입니다.

    • RT_FLOW_IPVX_SESSION_DENY

    • RT_FLOW_IPVX_SESSION_CREATE

    • RT_FLOW_IPVX_SESSION_CLOSE

IPv6 플로우에 대한 세션 이해

이 항목에서는 플로우 기반 세션에 대해 간략하게 설명합니다.

대부분의 패킷 처리는 정책, 영역 및 대부분의 화면 관리를 포함하여 흐름의 맥락에서 발생합니다. 세션은 다음 목적을 위해 흐름의 첫 번째 패킷에 대해 생성됩니다.

  • 플로우의 패킷에 적용될 대부분의 보안 조치를 저장합니다.

  • 흐름 상태에 대한 정보를 캐시합니다. 예를 들어, 흐름에 대한 로깅 및 계산 정보는 세션에서 캐시됩니다. (또한 일부 상태 저장 방화벽 화면은 개별 세션 또는 모든 세션과 관련된 임계값에 의존합니다.)

  • 흐름의 기능에 필요한 리소스를 할당합니다.

  • ALG(Application Layer Gateway)와 같은 기능을 위한 프레임워크를 제공합니다.

SRX5400, SRX5600 및 SRX5800 디바이스의 IPv6 플로우 처리 이해

이 주제에서는 SRX5400, SRX5600 및 SRX5800 디바이스의 아키텍처를 소개합니다. 이러한 디바이스의 플로우 처리는 브랜치 SRX 시리즈 방화벽의 플로우 처리와 유사합니다.

이러한 디바이스에는 I/O 카드(IOC) 및 서비스 프로세싱 카드(SPC)가 포함되며, 각 카드에는 디바이스를 통과할 때 패킷을 처리하는 처리 장치가 포함되어 있습니다. 이러한 처리 장치에는 다른 책임이 있습니다.

  • NPU(Network Processing Unit)는 IOC에서 실행됩니다. IOC에는 하나 이상의 NPU가 있습니다. NPU는 패킷을 개별적으로 처리하고 기본적인 플로우 관리 기능을 수행합니다.

    IPv6 패킷이 IOC에 도착하면 패킷 플로우 프로세스가 시작됩니다.

    • NPU는 패킷에 대해 다음과 같은 IPv6 온전성 검사를 수행합니다.

      • IPv6 기본 헤더의 경우 다음 헤더 검사를 수행합니다.

        • 버전. 헤더가 버전에 대해 IPv6을 지정하는지 확인합니다.

        • 페이로드 길이. 페이로드 길이를 검사하여 IPv6 패킷과 레이어 2 헤더의 결합된 길이가 레이어 2 프레임 길이보다 짧은지 확인합니다.

        • 홉 제한. 홉 제한이 0(영)을 지정하지 않는지 확인합니다.

        • 주소 확인. 원본 IP 주소가 ::0 또는 FF::00을 지정하지 않고 대상 IP 주소가 ::0 또는 ::1을 지정하지 않는지 확인합니다.

      • NPU는 다음을 포함한 IPv6 확장 헤더 검사를 수행합니다.

        • 홉 바이 홉 옵션. IPv6 기본 헤더를 따르는 첫 번째 확장 헤더인지 확인합니다.

        • 라우팅 확장. 라우팅 확장 헤더가 하나만 있는지 확인합니다.

        • 대상 옵션. 두 개 이상의 대상 옵션 확장 헤더가 포함되어 있지 않은지 확인합니다.

        • 조각. 프래그먼트 헤더가 하나만 있는지 확인합니다.

        메모:

        NPU는 다른 확장 헤더를 레이어 4 헤더로 취급합니다.

      • NPU는 다음을 포함한 레이어 4 TCP, UDP 및 ICMP6 프로토콜 검사를 수행합니다.

        • UDP입니다. 첫 번째 프래그먼트 패킷이 아닌 IP 페이로드 길이 패킷의 길이가 8바이트 이상인지 확인합니다.

        • TCP입니다. 첫 번째 프래그먼트 패킷이 아닌 IP 페이로드 길이 패킷의 길이가 20바이트 이상인지 확인합니다.

        • ICMPv6입니다. 첫 번째 프래그먼트 패킷이 아닌 IP 페이로드 길이 패킷의 길이가 8바이트 이상인지 확인합니다.

    • 패킷이 TCP 또는 UDP 프로토콜을 지정하는 경우 NPU는 다음 정보를 사용하여 패킷 헤더 데이터에서 튜플을 만듭니다.

      • 소스 IP 주소

      • 대상 IP 주소

      • 소스 포트

      • 목적지 포트

      • 프로토콜

      • 가상 라우터 식별자(VRID)

        디바이스는 VRID 테이블에서 VRID를 조회합니다.

    • ICMPv6(Internet Control Message Protocol version 6) 패킷의 경우 튜플에는 원본 및 대상 포트 필드를 제외하고 TCP 및 UDP 검색 키에 사용된 것과 동일한 정보가 포함됩니다. 소스 및 대상 포트 필드는 ICMPv6 패킷에서 추출된 다음 정보로 대체됩니다.

      • ICMP 오류 패킷의 경우: "0x00010001" 패턴

      • ICMP 정보 패킷의 경우: 유형 또는 코드 필드 식별자

    • 인증 헤더(AH) 또는 캡슐화 보안 페이로드(ESP) 헤더가 있는 패킷의 경우 검색 키는 원본 및 대상 포트 필드를 제외하고 TCP 및 UDP 튜플에 사용된 키와 동일합니다. 이 경우 소스 및 대상 포트 대신 SPI(Security Parameter Index) 필드 값이 사용됩니다. ESP(Encapsulating Security Payload) 헤더 및 AH(Authentication Header)의 경우 중심점 아키텍처가 향상되기 전에는 3튜플 및 SPI(보안 매개 변수 인덱스) 필드로 해시되고, 중심점 아키텍처가 향상되면 IP 쌍에 의해 해시됩니다.

    • 패킷의 흐름에 대한 세션이 존재하면 NPU는 세션을 관리하는 SPU로 패킷을 보냅니다.

    • 일치하는 세션이 없는 경우

      • NPU는 패킷 정보를 중앙 지점으로 전송하여 보류 중인 세션을 생성합니다.

      • 중앙 지점은 패킷을 처리하고 패킷을 위한 세션을 생성할 SPU를 선택합니다.

      • 그런 다음 SPU는 중앙 지점과 수신 및 송신 NPU에 세션 생성 메시지를 전송하여 패킷 플로우에 대한 세션을 생성하도록 지시합니다.

  • 전용 SPU에서 실행되거나 SPU가 하나만 있는 경우 하나의 리소스를 공유할 수 있는 중앙 지점. 중앙 지점은 중재 및 리소스 할당을 처리하고 지능적인 방식으로 세션을 배포합니다. 중앙 지점은 SPU가 플로우의 첫 번째 패킷을 처리할 때 특정 세션에 사용할 SPU를 할당합니다.

    • SRX5000 라인 디바이스의 경우 중앙 지점 아키텍처는 애플리케이션 중앙 지점과 분산 중앙 지점(DCP)의 두 가지 모듈로 나뉩니다. App-CP는 글로벌 리소스 관리 및 로드 밸런싱을 담당하고 DCP는 트래픽 식별(글로벌 세션 매칭)을 담당합니다. App-CP 기능은 전용 중앙 지점 SPU에서 실행되는 반면, DCP 기능은 나머지 SPU에 배포됩니다.

  • SPC(Services Processing Card)에서 실행되는 하나 이상의 SPU. 패킷에 대한 모든 플로우 기반 서비스는 패킷 플로우에 대해 설정된 세션의 컨텍스트 내에서 단일 SPU에서 실행됩니다.

    SRX5000 라인 디바이스용 SPC에는 2개의 SPU가 있습니다.

    섀시에 여러 SPC를 설치할 수 있습니다.

    주로 SPU는 다음과 같은 작업을 수행합니다.

    • 세션을 관리하고 보안 기능 및 기타 서비스를 패킷에 적용합니다.

    • 패킷 기반 상태 비저장 방화벽 필터, 분류자 및 트래픽 셰이퍼를 적용합니다.

    • 패킷에 대한 세션이 아직 존재하지 않는 경우, SPU는 패킷의 세션을 검색한 NPU에 요청 메시지를 보내 패킷을 위한 세션을 추가하도록 지시합니다.

시스템의 이러한 개별적이고 협력적인 부분은 패킷 스트림에 대한 세션이 존재하는지 여부를 식별하는 정보와 패킷이 기존 세션에 속하는지 여부를 결정하기 위해 패킷이 일치하는 정보를 저장합니다.

IPv6 트래픽에 대한 플로우 기반 처리 활성화

IPv6 트래픽을 처리하기 위한 옵션은 다음과 같습니다.

  • Drop(삭제) - IPv6 패킷을 전달하지 않습니다.

  • 패킷 기반 포워딩—패킷 기반 기능에만 따라 세션 및 프로세스를 생성하지 마십시오(방화벽 필터 및 서비스 등급 포함).

  • 플로우 기반 포워딩—패킷 기반 기능(방화벽 필터 및 서비스 등급 포함)뿐만 아니라 화면 및 방화벽 보안 정책과 같은 플로우 기반 보안 기능에 따라 세션 및 프로세스를 생성합니다. 이것이 기본 동작입니다.

IPv6 트래픽에 플로우 기반 처리를 활성화하려면 [edit security forwarding-options family inet6] 계층 수준에서 문을 수정합니다mode.

다음 예는 IPv6 트래픽에 대한 포워딩을 구성하기 위해 사용하는 CLI 명령을 보여줍니다.

IPv6에 대한 전달 옵션 모드를 변경하는 경우 구성 변경을 초기화하기 위해 재부팅을 수행해야 할 수 있습니다. 표 1 은 구성 변경 시 디바이스 상태를 요약한 것입니다.

표 1: 구성 변경 시 디바이스 상태

구성 변경

커밋 경고

재부팅 필요

재부팅 전 기존 트래픽에 미치는 영향

재부팅 전 새 트래픽에 미치는 영향

플로우 기반으로 전환

떨어졌다

떨어졌다

패킷 기반으로 삭제

아니요

아니요

패킷 기반

패킷 기반

플로우 기반에서 패킷 기반으로

없음

플로우 세션이 생성됨

플로우 기반 투 드롭

없음

플로우 세션이 생성됨

패킷 기반에서 플로우 기반으로

패킷 기반

패킷 기반

패킷 기반 삭제

아니요

아니요

떨어졌다

떨어졌다

보안 디바이스의 IPv6 트래픽에 대한 플로우 기반 처리

플로우 기반 처리 모드는 영역, 화면 및 방화벽 정책과 같은 보안 기능이 작동하는 데 필요합니다. 기본적으로 SRX 시리즈 방화벽은 드롭 모드로 설정된 SRX300 시리즈 및 SRX550M 디바이스를 제외한 모든 디바이스에서 IPv6 트래픽에 대한 플로우 기반 포워딩을 위해 활성화됩니다. Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 SRX1500 시리즈, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 및 vSRX 가상 방화벽 디바이스의 경우 플로우 모드, 패킷 모드 및 드롭 모드 간에 모드를 전환할 때 디바이스를 재부팅할 필요가 없습니다 . SRX300 시리즈 및 SRX550M 디바이스의 경우 플로우 모드, 패킷 모드 및 드롭 모드 간에 전환할 때 디바이스를 재부팅 해야 합니다 .

SRX300 Series and the SRX550M Devices

IPv6가 SRX300 시리즈 및 SRX550M 디바이스에서 구성되면 메모리 제약으로 인해 기본 동작이 드롭 모드로 설정됩니다. 이 경우 처리 모드를 드롭 모드 기본값에서 플로우 기반 처리 모드 또는 패킷 기반 처리 모드로, 즉 이러한 디바이스의 모드 간으로 변경한 후 디바이스를 재부팅해야 합니다.

메모:

드롭 모드 처리의 경우 트래픽이 직접 삭제되며 전달되지 않습니다. 트래픽이 처리되지만 보안 프로세스가 적용되지 않는 패킷 모드 처리와는 다릅니다.

SRX300 시리즈 및 SRX550M 디바이스에서 IPv6 트래픽을 처리하려면 트래픽을 수신 및 전달하는 전송 인터페이스에 대한 IPv6 주소를 구성해야 합니다. inet6 프로토콜 제품군 및 인터페이스에 대한 IPv6 주소 구성 절차에 대한 정보.

Configuring an SRX Series Device as a Border Router

플로우 기반 프로세싱 또는 드롭 모드에 대해 모든 유형의 SRX 시리즈 방화벽이 활성화된 경우, 디바이스를 경계 라우터로 구성하려면 MPLS에 대해 모드를 패킷 기반 프로세싱으로 변경해야 합니다. 이 경우, MPLS에 대한 SRX 시리즈 방화벽을 패킷 모드로 구성하려면 문을 사용합니다 set security forwarding-options family mpls mode packet-based .

메모:

앞서 언급했듯이 SRX300 시리즈 및 SRX550M 디바이스의 경우 처리 모드를 변경할 때마다 디바이스를 재부팅해야 합니다.

Enabling Flow-Based Processing for IPv6 Traffic on SRX300 Series and SRX550M Devices

SRX300 시리즈 및 SRX550M 디바이스에서 IPv6 트래픽에 대한 플로우 기반 포워딩을 활성화하려면 [edit security forwarding-options family inet6] 계층 수준에서 모드를 수정합니다.

SRX300 시리즈 또는 SRX500M 디바이스에서 IPv6 트래픽에 대한 포워딩을 구성하려면 다음을 수행합니다.

  1. IPv6에 대한 전달 옵션 모드를 플로우 기반으로 변경합니다.
  2. 구성을 검토합니다.
  3. 구성을 커밋합니다.
  4. 장치를 재부팅합니다.
메모:

SRX300 시리즈 및 SRX500M 디바이스의 경우 디바이스는 IPv6 유형 0 라우팅 헤더(RH0) 패킷을 폐기합니다.

필터를 사용하여 SRX 시리즈 서비스 게이트웨이에 대한 IPv6 세션 및 흐름 정보 표시

목적

명령을 사용하여 하나 이상의 세션에 대한 플로우 및 세션 정보를 표시할 수 있습니다 show security flow session . IPv6 세션은 집계된 통계에 포함됩니다.

명령과 show security flow session 함께 application, destination-port, destination-prefix, family, idp, interface, nat, protocol, resource-manager, session-identifier, source-port, source-prefix, tunnel 필터를 사용할 수 있습니다.

메모:

세션 식별자 필터를 제외하고 다른 모든 필터의 출력은 간략, 요약 및 광범위 모드로 볼 수 있습니다. 간략한 모드가 기본 모드입니다. 세션 식별자 필터의 출력은 간단한 모드에서만 볼 수 있습니다.

명령과 함께 clear security flow session 동일한 필터 옵션을 사용하여 세션을 종료할 수 있습니다.

행동

다음 예제에서는 IPv6 관련 필터를 사용하여 IPv6 세션에 대한 요약 및 세부 정보를 표시하는 방법을 보여 줍니다.

메모:

Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 이러한 세션 요약 중 다수에는 CP 세션 ID가 포함됩니다.

제품군을 기준으로 필터링된 요약 보고서

제품군을 기준으로 필터링된 상세 보고서

제품군을 기준으로 필터링된 간략한 보고서

IPv6 소스 접두사를 기반으로 필터링된 상세 보고서

제품군, 프로토콜 및 source-prefix를 기반으로 다중 필터링된 상세 보고서

IPv6 세션을 포함한 모든 세션 지우기

IPv6 세션만 지우기

변경 내역 테이블

기능 지원은 사용 중인 플랫폼 및 릴리스에 따라 결정됩니다. 기능 탐색기 를 사용하여 플랫폼에서 기능이 지원되는지 확인합니다.

석방
묘사
15.1X49-D70
기본적으로 SRX 시리즈 방화벽은 드롭 모드로 설정된 SRX300 시리즈 및 SRX550M 디바이스를 제외한 모든 디바이스에서 IPv6 트래픽에 대한 플로우 기반 포워딩을 위해 활성화됩니다. Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 SRX1500 시리즈, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 및 vSRX 가상 방화벽 디바이스의 경우 플로우 모드, 패킷 모드 및 드롭 모드 간에 모드를 전환할 때 디바이스를 재부팅할 필요가 없습니다 . SRX300 시리즈 및 SRX550M 디바이스의 경우 플로우 모드, 패킷 모드 및 드롭 모드 간 전환 시 디바이스를 재부팅 해야 합니다 .
15.1X49-D30
Junos OS 릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1부터 이러한 세션 요약 중 다수에는 CP 세션 ID가 포함됩니다.