IPv6 플로우 기반 프로세싱
이 주제에서는 IPv6 트래픽 및 IPv6 세션의 플로우 처리에 대한 정보를 다룹니다.
IPv6 고급 플로우
IPv6 고급 플로우는 방화벽, NAT, NAT-PT, 멀티캐스트(로컬 링크 및 전송), IPsec, IDP, JSF 프레임워크, TCP 프록시 및 SRX 시리즈 방화벽 세션 관리자를 위한 IPv6 지원을 추가합니다. 관리 정보 베이스(MIB)는 IPv6 플로우에서 사용되지 않습니다.
현재 IPv4 환경에 미치는 영향을 피하기 위해 IPv6 보안이 사용됩니다. IPv6 보안을 활성화하면 확장 세션과 게이트가 할당됩니다. 기존 주소 필드 및 게이트는 확장 세션 또는 게이트의 인덱스를 저장하는 데 사용됩니다. IPv6 보안이 비활성화되면 IPv6 보안 관련 리소스가 할당되지 않습니다.
새로운 로그는 IPv6 플로우 트래픽에 사용되어 기존 IPv4 시스템의 성능에 미치는 영향을 방지합니다.
IPv6 고급 플로우의 동작 및 구현은 대부분의 경우 IPv4의 동작과 동일합니다.
세션, 게이트, ip-actions, 멀티스레드 처리, 배포, 잠금, 동기화, 직렬화, 주문, 패킷 큐잉, 비동기 메시징, IKE 트래픽 문제, 온전성 검사 및 IPv6용 대기열의 구현은 IPv4 구현과 유사합니다.
몇 가지 차이점이 아래에 설명되어 있습니다.
Header Parse IPv6 고급 플로우는 헤더 구문을 파싱하는 것을 중단하고 다음 확장 헤더가 발생할 경우 패킷을 해당 프로토콜 패킷으로 해석합니다.
TCP/UDP
ESP/AH
ICMPv6
IPv6 고급 플로우는 다음 확장 헤더가 발생할 경우 헤더를 계속 구문 분석합니다.
홉 바이 홉
라우팅 및 대상, 단편화
IPv6 고급 플로우는 확장 헤더 No Next Header 가 발생할 경우 패킷을 알 수 없는 프로토콜 패킷으로 해석합니다.
Sanity Checks— IPv6 고급 플로우는 다음 온전성 검사를 지원합니다.
TCP 길이
UDP 길이
홉 바이 홉
IP 데이터 길이 오류
레이어 3 온전성 검사(예: IP 버전 및 IP 길이)
ICMPv6 Packets IPv6 고급 플로우에서 ICMPv6 패킷은 다음과 같은 예외를 제외하고 일반 IPv6 트래픽과 동일한 동작을 공유합니다.
내장 ICMPv6 패킷
경로 MTU 메시지
Host Inbound and Outbound Traffic IPv6 고급 플로우는 OSPF v3, RIPng, Telnet 및 SSH를 포함하여 라우팅 엔진(RE)에서 실행되는 모든 경로 및 관리 프로토콜을 지원합니다. flow에 flow 레이블이 사용되지 않음을 유의하십시오.
Tunnel Traffic IPv6 고급 플로우는 다음 터널 유형을 지원합니다.
IPv4 IP-IP
IPv4 GRE
IPv4 IPsec
듀얼 스택 라이트
Events and Logs 다음은 IPv6 관련 플로우 트래픽에 대한 로그입니다.
RT_FLOW_IPVX_SESSION_DENY
RT_FLOW_IPVX_SESSION_CREATE
RT_FLOW_IPVX_SESSION_CLOSE
IPv6 플로우에 대한 세션 이해
이 주제는 플로우 기반 세션에 대한 개요를 제공합니다.
대부분의 패킷 처리는 정책, 영역 및 대부분의 스크린 관리를 포함하여 플로우의 맥락에서 발생합니다. 다음 목적을 위해 플로우의 첫 번째 패킷에 대해 세션이 생성됩니다.
플로우 패킷에 적용될 대부분의 보안 조치를 저장합니다.
플로우 상태에 대한 정보를 캐시하는 경우. 예를 들어, 플로우에 대한 로깅 및 카운팅 정보는 해당 세션에서 캐시에 저장됩니다. (또한 일부 스테이트풀 방화벽 화면은 개별 세션 또는 모든 세션에 걸친 임계값에 의존합니다.)
플로우에 필요한 리소스를 할당합니다.
애플리케이션 레이어 게이트웨이(ALG)와 같은 기능을 위한 프레임워크를 제공합니다.
SRX5400, SRX5600 및 SRX5800 디바이스의 IPv6 플로우 프로세싱 이해
이 주제에서는 SRX5400, SRX5600 및 SRX5800 디바이스의 아키텍처를 소개합니다. 이러한 디바이스의 플로우 처리는 브랜치 SRX 시리즈 방화벽의 플로우 처리와 유사합니다.
이러한 디바이스에는 I/O 카드(IOC) 및 SPC(Services Processing Card)가 포함되어 있으며, 각 디바이스는 디바이스를 통과할 때 패킷을 처리하는 처리 장치를 포함하고 있습니다. 이러한 처리 장치는 서로 다른 책임을 갖습니다.
네트워크 처리 유닛(NPU)은 IOC에서 실행됩니다. IOC에는 하나 이상의 NPU가 있습니다. NPU는 패킷을 별도로 처리하고 기본 플로우 관리 기능을 수행합니다.
IPv6 패킷이 IOC에 도착하면 패킷 플로우 프로세스가 시작됩니다.
NPU는 패킷에 대해 다음과 같은 IPv6 온전성 검사를 수행합니다.
IPv6 기본 헤더의 경우 다음 헤더 검사를 수행합니다.
버전. 헤더가 버전에 대해 IPv6을 지정하는지 확인합니다.
페이로드 길이. 페이로드 길이를 확인하여 IPv6 패킷 및 레이어 2 헤더의 결합 길이가 레이어 2 프레임 길이보다 짧은지 확인합니다.
홉 제한. 홉 제한이 0(0)을 지정하지 않았는지 확인합니다.
주소 확인. 소스 IP 주소가 ::0을 지정하지 않는지 확인합니다. 또는 FF::00이며 대상 IP 주소가 ::0을 지정하지 않음 또는 ::1입니다.
NPU는 다음을 포함하여 IPv6 확장 헤더 검사를 수행합니다.
홉 바이 홉 옵션. 이것이 IPv6 기본 헤더를 따르는 첫 번째 확장 헤더인지 확인합니다.
라우팅 확장. 라우팅 확장 헤더가 하나만 있는지 확인합니다.
대상 옵션. 두 개 이상의 대상 옵션 확장 헤더가 포함되어 있지 않은지 확인합니다.
조각. 패킷 조각 헤더가 하나만 있는지 확인합니다.
참고:NPU는 다른 모든 확장 헤더를 레이어 4 헤더로 처리합니다.
NPU는 다음을 포함하여 레이어 4 TCP, UDP 및 ICMP6 프로토콜 검사를 수행합니다.
Udp. 첫 번째 패킷이 아닌 IP 페이로드 길이 패킷이 최소 8바이트 긴지 확인합니다.
Tcp. 첫 번째 패킷이 아닌 IP 페이로드 길이 패킷이 최소 20바이트 긴지 확인합니다.
ICMPv6. 첫 번째 패킷이 아닌 IP 페이로드 길이 패킷이 최소 8바이트 긴지 확인합니다.
패킷이 TCP 또는 UDP 프로토콜을 지정하는 경우 NPU는 다음 정보를 사용하여 패킷 헤더 데이터에서 튜플을 생성합니다.
소스 IP 주소
대상 IP 주소
소스 포트
대상 포트
프로토콜
VRID(Virtual Router Identifier)
디바이스는 VRID 테이블에서 VRID를 찾습니다.
인터넷 제어 메시지 프로토콜 버전 6(ICMPv6) 패킷의 경우, 튜플은 소스 및 대상 포트 필드를 제외하고 TCP 및 UDP 검색 키에 사용되는 것과 동일한 정보를 포함합니다. 소스 및 대상 포트 필드는 ICMPv6 패킷에서 추출한 다음 정보로 대체됩니다.
ICMP 오류 패킷의 경우: "0x00010001" 패턴
ICMP 정보 패킷의 경우: 유형 또는 코드, 필드 식별자
인증 헤더(AH) 또는 캡슐화 보안 페이로드(ESP) 헤더가 있는 패킷의 경우, 검색 키는 소스 및 대상 포트 필드를 제외하고 TCP 및 UDP 튜플에 사용되는 것과 동일합니다. 이 경우, SPI(Security Parameter Index) 필드 값은 소스 및 대상 포트 대신 사용됩니다. ESP(Encapsulating Security Payload) 헤더 및 인증 헤더(AH)의 경우, cenral point 아키텍처 개선 전에 3-tuple 및 보안 매개변수 인덱스(SPI) 필드에 의해 해시되며, 보안 포인트 아키텍처로의 개선 이후에는 IP 쌍으로 해시됩니다.
패킷 플로우에 대한 세션이 존재하는 경우 NPU는 패킷을 세션을 관리하는 SPU로 보냅니다.
일치하는 세션이 존재하지 않는 경우
NPU는 패킷 정보를 중앙 지점으로 전송하여 보류 중인 세션을 만듭니다.
중앙 포인트는 패킷을 처리하고 세션을 생성할 SPU를 선택합니다.
그런 다음 SPU는 세션 생성 메시지를 중앙 지점과 수신 및 송신 NPU로 전송하여 패킷 플로우에 대한 세션을 생성하도록 지시합니다.
전용 SPU에서 실행되거나 하나의 SPU만 있는 경우 리소스를 공유할 수 있는 중앙 포인트입니다. 중앙 지점은 리소스의 중재 및 할당을 처리하고 지능형 방식으로 세션을 배포합니다. 중앙 포인트는 SPU가 플로우의 첫 번째 패킷을 처리할 때 특정 세션에 사용할 SPU를 할당합니다.
SRX5000 라인 디바이스의 경우, 중앙 포인트 아키텍처는 애플리케이션 중앙 포인트와 분산 중앙점(DCP)의 두 가지 모듈로 나뉩니다. App-CP는 글로벌 리소스 관리 및 로드 밸런싱을 담당하며, DCP는 트래픽 식별(글로벌 세션 일치)을 담당합니다. App-CP 기능은 전용 중앙 포인트 SPU에서 실행되는 반면, DCP 기능은 나머지 SPU에 배포됩니다.
SPC(Services Processing Card)에서 실행되는 하나 이상의 SPU. 패킷에 대한 모든 플로우 기반 서비스는 패킷 플로우에 대해 설정된 세션의 컨텍스트 내에서 단일 SPU에서 실행됩니다.
SRX5000 라인 디바이스용 SPC에는 두 개의 SPU가 있습니다.
섀시에 여러 SPC를 설치할 수 있습니다.
주로 SPU는 다음 작업을 수행합니다.
세션을 관리하고 패킷에 보안 기능 및 기타 서비스를 적용합니다.
패킷 기반 스테이트리스 방화벽 필터, 분류자 및 트래픽 셰이퍼를 적용합니다.
패킷에 대한 세션이 아직 존재하지 않은 경우 SPU는 패킷 세션 검색을 수행한 NPU에 요청 메시지를 보내 세션을 추가하도록 지시합니다.
시스템의 이러한 개별 협력 부분은 패킷 스트림에 대한 세션의 존재 여부와 패킷이 일치하는 정보를 식별하여 기존 세션에 속하는지 여부를 결정하는 정보를 저장합니다.
IPv6 트래픽에 대한 플로우 기반 처리 활성화
IPv6 트래픽 처리에는 다음과 같은 옵션이 있습니다.
삭제 - IPv6 패킷을 전달하지 마십시오.
패킷 기반 포워딩 - 패킷 기반 기능(방화벽 필터 및 서비스 등급 포함)에 따라 세션 및 프로세스를 생성하지 마십시오.
플로우 기반 포워딩 - 패킷 기반 기능(방화벽 필터 및 서비스 등급 포함)뿐만 아니라 화면 및 방화벽 보안 정책과 같은 플로우 기반 보안 기능에 따라 세션 및 프로세스를 생성합니다. 이것은 기본 동작입니다.
IPv6 트래픽에 대한 플로우 기반 처리를 활성화하려면 [edit security forwarding-options family inet6] 계층 수준에서 문을 수정 mode 해야 합니다.
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
다음 예는 IPv6 트래픽에 대한 포워딩을 구성하는 데 사용하는 CLI 명령을 보여줍니다.
[edit]
user@host# set security forwarding-options family inet6 mode ?
Possible completions:
drop Disable forwarding
flow-based Enable flow-based forwarding
packet-based Enable packet-based forwarding
[edit]
user@host# set security forwarding-options family inet6 mode flow-based
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
IPv6의 포워딩 옵션 모드를 변경하는 경우 구성 변경을 초기화하기 위해 재부팅을 수행해야 할 수 있습니다. 표 1 은 구성 변경 시 디바이스 상태를 요약합니다.
구성 변경 |
커밋 경고 |
재부팅 필요 |
재부팅 전 기존 트래픽에 미치는 영향 |
재부팅 전 새로운 트래픽에 미치는 영향 |
|---|---|---|---|---|
플로우 기반 드롭 |
예 |
예 |
떨어졌다 |
떨어졌다 |
패킷 기반 드롭 |
아니요 |
아니요 |
패킷 기반 |
패킷 기반 |
패킷 기반 플로우 기반 |
예 |
예 |
없음 |
생성된 플로우 세션 |
플로우 기반 드롭 |
예 |
예 |
없음 |
생성된 플로우 세션 |
플로우 기반 패킷 기반 |
예 |
예 |
패킷 기반 |
패킷 기반 |
드롭(drop) 패킷 기반 |
아니요 |
아니요 |
떨어졌다 |
떨어졌다 |
보안 디바이스의 IPv6 트래픽에 대한 플로우 기반 처리
영역, 스크린 및 방화벽 정책과 같은 보안 기능이 작동하려면 플로우 기반 처리 모드가 필요합니다. 기본적으로 SRX 시리즈 방화벽은 드롭 모드로 설정된 SRX300 시리즈 및 SRX550M 디바이스를 제외한 모든 디바이스의 IPv6 트래픽에 대한 플로우 기반 포워딩을 위해 활성화되어 있습니다. Junos OS 릴리스 15.1X49-D70 및 Junos OS 릴리스 17.3R1부터 SRX1500 시리즈, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 및 vSRX 가상 방화벽 디바이스에 대해 플로우 모드, 패킷 모드 및 드롭 모드 간에 모드를 스위칭할 때 디바이스를 재부팅할 필요가 없습니다 . SRX300 시리즈 및 SRX550M 디바이스의 경우 플로우 모드, 패킷 모드 및 드롭 모드 간에 전환할 때 디바이스를 재부팅 해야 합니다 .
SRX300 Series and the SRX550M Devices
IPv6가 SRX300 시리즈 및 SRX550M 디바이스에서 구성되면, 기본 동작은 메모리 제약으로 인해 드롭 모드로 설정됩니다. 이 경우, 드롭 모드에서 플로우 기반 처리 모드 또는 패킷 기반 처리 모드로 프로세싱 모드를 변경한 후 디바이스를 재부팅해야 합니다. 즉, 이러한 디바이스의 모드 간입니다.
드롭 모드 처리의 경우 트래픽이 직접 누락되고 전달되지 않습니다. 트래픽을 처리하는 패킷 모드 처리와는 다르지만 보안 프로세스는 적용되지 않습니다.
SRX300 시리즈 및 SRX550M 디바이스에서 IPv6 트래픽을 처리하려면 트래픽을 수신하고 전달하는 전송 인터페이스에 대해 IPv6 주소를 구성해야 합니다. inet6 프로토콜 체계 및 인터페이스용 IPv6 주소 구성 절차에 대한 정보.
Configuring an SRX Series Device as a Border Router
플로우 기반 처리 또는 드롭 모드를 위해 모든 유형의 SRX 시리즈 방화벽이 활성화되면 디바이스를 경계 라우터로 구성하려면 MPLS 위해 모드를 패킷 기반 처리로 변경해야 합니다. 이 경우, MPLS 패킷 모드로 SRX 시리즈 방화벽을 구성하려면 문을 사용합니다 set security forwarding-options family mpls mode packet-based .
언급했듯이 SRX300 시리즈 및 SRX550M 디바이스의 경우 처리 모드를 변경할 때마다 디바이스를 재부팅해야 합니다.
Enabling Flow-Based Processing for IPv6 Traffic on SRX300 Series and SRX550M Devices
SRX300 시리즈 및 SRX550M 디바이스에서 IPv6 트래픽에 대한 플로우 기반 포워딩을 활성화하려면 [edit security forwarding-options family inet6] 계층 수준에서 모드를 수정합니다.
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
SRX300 시리즈 또는 SRX500M 디바이스에서 IPv6 트래픽에 대한 포워딩을 구성하려면,
SRX300 시리즈 및 SRX500M 디바이스의 경우 디바이스는 IPv6 유형 0 라우팅 헤더(RH0) 패킷을 폐기합니다.
필터를 사용하여 SRX 시리즈 서비스 게이트웨이에 대한 IPv6 세션 및 플로우 정보 표시
목적
명령을 사용하여 하나 이상의 세션에 대한 플로우 및 세션 정보를 표시할 수 있습니다 show security flow session . IPv6 세션은 집계된 통계에 포함됩니다.
명령으로 show security flow session 다음 필터를 사용할 수 있습니다. 애플리케이션, 대상 포트, 대상 접두사, 제품군, idp, 인터페이스, nat, 프로토콜, 리소스 관리자, 세션 식별자, 소스 포트, 소스 접두사 및 터널.
세션 식별자 필터를 제외하고 다른 모든 필터의 출력은 요약 및 광범위한 모드에서 볼 수 있습니다. 간단한 모드는 기본 모드입니다. 세션 식별자 필터의 출력은 간단한 모드에서만 볼 수 있습니다.
명령과 함께 clear security flow session 동일한 필터 옵션을 사용하여 세션을 종료할 수 있습니다.
작업
다음 예는 IPv6 관련 필터를 사용하여 IPv6 세션에 대한 요약 및 세부 정보를 표시하는 방법을 보여줍니다.
릴리스 15.1X49-D30 및 Junos OS 릴리스 17.3R1 Junos OS 시작하여 이러한 많은 세션 요약에는 CP 세션 ID가 포함됩니다.
제품군을 기반으로 필터링된 요약 보고서
root> show security flow session summary family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session summary family inet6 Flow Sessions on FPC10 PIC1: Valid sessions: 2 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 2 Flow Sessions on FPC10 PIC2: Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1 Flow Sessions on FPC10 PIC3: Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 1 Sessions in other states: 0 Total sessions: 1
제품군을 기반으로 한 필터링된 세부 보고서
root> show security flow session family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session family inet6 Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Session ID: 430000026, Policy name: default-policy-00/2, Timeout: 1794, Valid In: 2001:db8::10/64712 -> 2001:db8::4/21;tcp If: ge-7/1/0.0, Pkts: 8, Bytes: 562, CP Session ID: 430000025 Out: 2001:db8::4/21 --> 2001:db8::10/64712;tcp, If: ge-7/1/1.0, Pkts: 12, Bytes: 1014, CP Session ID: 430000025 Total sessions: 1
제품군 기반 필터링된 개요 보고서
root> show security flow session family inet brief Flow Sessions on FPC10 PIC1: Session ID: 410000031, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/3 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000039 Out: 198.51.100.11/43053 --> 203.0.113.8/3;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 410000039 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000034, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/4 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000041 Out: 198.51.100.11/43053 --> 203.0.113.8/4;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000041 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000042, Policy name: default-policy-00/2, Timeout: 44, Valid In: 203.0.113.8/2 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000041 Out: 198.51.100.11/43053 --> 203.0.113.8/2;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000041 Total sessions: 1 2001:dbf8::6:2/32
IPv6 소스 접두사 기반 필터링된 상세 보고서
root> show security flow session source-prefix 2001:dbf8::
Flow Sessions on FPC10 PIC1:
Session ID: 410000066, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/3 > 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8:5::2/323;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Session ID: 410000068, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8::6:2/4;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Total sessions: 2
Flow Sessions on FPC10 PIC2:
Session ID: 420000067, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 420000080
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/4 ;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000080
Total sessions: 1
Flow Sessions on FPC10 PIC3:
Session ID: 430000077, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/3 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000075
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/3;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000075
Session ID: 430000078, Policy name: default-policy-00/2, Timeout: 30, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::3/6702, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000076
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/5;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000076
Session ID: 430000079, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::1/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Out: 2001:dbf8:5::1/7214 --> 2001:dbf8::6:2/5;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Total sessions: 3
제품군, 프로토콜 및 소스 접두사에 기반한 다중 필터링 상세 보고서
root> show security flow session family inet protocol icmp source-prefix 2001:db8:: Flow Sessions on FPC10 PIC1: Session ID: 410000074, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/1 --> 2001:dbf8:8::2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Out: 2001:dbf8:8::2 --> 2001:dbf8::6:2/1;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000075, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/3 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/3;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000085, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/4 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/4;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Total sessions: 1
IPv6 세션을 포함한 모든 세션 삭제
root> clear security flow session all This command may terminate the current session too. Continue? [yes,no] (no) yes 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
IPv6 세션만 지우기
root> clear security flow session family ? Possible completions: inet Clear IPv4 sessions inet6 Clear IPv6/IPv6-NATPT sessions root> clear security flow session family inet6 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared