Procesamiento basado en flujo IPv6
En este tema se trata información sobre el procesamiento de flujo para tráfico IPv6 y sesiones IPv6.
Flujo avanzado de IPv6
El flujo avanzado de IPv6 agrega compatibilidad IPv6 con firewall, NAT, NAT-PT, multidifusión (vínculo local y tránsito), IPsec, IDP, marco JSF, proxy TCP y administrador de sesiones en firewalls de la serie SRX. Las MIB no se utilizan en el flujo IPv6.
Para evitar el impacto en el entorno IPv4 actual, se utiliza la seguridad IPv6. Si la seguridad IPv6 está habilitada, se asignan las sesiones extendidas y las puertas. Los campos de dirección y puertas existentes se utilizan para almacenar el índice de sesiones extendidas o puertas. Si la seguridad IPv6 está deshabilitada, no se asignan los recursos relacionados con la seguridad IPv6.
Los nuevos registros se usan para el tráfico de flujo IPv6 para evitar el impacto en el rendimiento del sistema IPv4 existente.
El comportamiento y la implementación del flujo avanzado de IPv6 son los mismos que los de IPv4 en la mayoría de los casos.
Las implementaciones de sesiones, puertas, acciones de ip, procesamiento de subprocesos múltiples, distribución, bloqueo, sincronización, serialización, pedidos, colas de paquetes, mensajería asíncrona, problemas de tráfico de IKE, comprobación de cordura y colas para IPv6 son similares a las implementaciones de IPv4.
Algunas de las diferencias se explican a continuación:
Header Parse El flujo avanzado de IPv6 detiene el análisis de los encabezados e interpreta el paquete como el paquete de protocolo correspondiente si encuentra los siguientes encabezados de extensión:
TCP/UDP
ESP/AH
ICMPv6
El flujo avanzado de IPv6 continúa analizando los encabezados si encuentra los siguientes encabezados de extensión:
Salto a salto
Enrutamiento y destino, fragmento
El flujo avanzado IPv6 interpreta los paquetes como un paquete de protocolo desconocido si encuentra el encabezado No Next Header de extensión
Sanity Checks— El flujo avanzado IPv6 admite las siguientes comprobaciones de cordura:
Longitud TCP
Longitud UDP
Salto a salto
Error de longitud de datos IP
Comprobaciones de cordura de capa 3 (por ejemplo, versión y longitud de IP)
ICMPv6 Packets En el flujo avanzado de IPv6, los paquetes ICMPv6 comparten el mismo comportamiento que el tráfico IPv6 normal con las siguientes excepciones:
Paquete ICMPv6 integrado
Mensaje de MTU de ruta
Host Inbound and Outbound Traffic El flujo avanzado IPv6 admite todos los protocolos de ruta y administración que se ejecutan en el motor de enrutamiento (RE), incluidos OSPF v3, RIPng, Telnet y SSH. Tenga en cuenta que no se utiliza ninguna etiqueta de flujo en el flujo.
Tunnel Traffic El flujo avanzado IPv6 admite los siguientes tipos de túneles:
IPv4 IP-IP
IPv4 GRE
IPv4 IPsec
Lite de doble pila
Events and Logs Los siguientes registros corresponden al tráfico de flujo relacionado con IPv6:
RT_FLOW_IPVX_SESSION_DENY
RT_FLOW_IPVX_SESSION_CREATE
RT_FLOW_IPVX_SESSION_CLOSE
Descripción de las sesiones para el flujo IPv6
En este tema se ofrece una descripción general de las sesiones basadas en flujos.
La mayor parte del procesamiento de paquetes se produce en el contexto de un flujo, incluida la administración de políticas, zonas y la mayoría de las pantallas. Se crea una sesión para el primer paquete de un flujo con los siguientes propósitos:
Almacenar la mayoría de las medidas de seguridad a aplicar a los paquetes del flujo.
Para almacenar en caché información sobre el estado del flujo. Por ejemplo, la información de registro y recuento de un flujo se almacena en caché en su sesión. (Además, algunas pantallas de firewall con estado se basan en valores de umbral que pertenecen a sesiones individuales o a todas las sesiones).
Para asignar los recursos necesarios para las características del flujo.
Proporcionar un marco para características como las puertas de enlace de capa de aplicación (ALG).
Descripción del procesamiento de flujo IPv6 en dispositivos SRX5400, SRX5600 y SRX5800
En este tema se presenta la arquitectura de los dispositivos SRX5400, SRX5600 y SRX5800. El procesamiento de flujo en estos dispositivos es similar al de los firewalls de la serie SRX de sucursal.
Estos dispositivos incluyen tarjetas de E/S (IOC) y tarjetas de procesamiento de servicios (SPC) que contienen unidades de procesamiento que procesan un paquete a medida que atraviesa el dispositivo. Estas unidades de procesamiento tienen diferentes responsabilidades.
Una unidad de procesamiento de red (NPU) se ejecuta en una IOC. Un COI tiene una o más NPU. Una NPU procesa paquetes discretamente y realiza funciones básicas de administración de flujo.
Cuando un paquete IPv6 llega a una IOC, comienza el proceso de flujo de paquetes.
La NPU realiza las siguientes comprobaciones de cordura IPv6 para el paquete:
Para el encabezado básico IPv6, realiza las siguientes comprobaciones de encabezado:
Versión. Comprueba que el encabezado especifica IPv6 para la versión.
Longitud de la carga útil. Comprueba la longitud de la carga para asegurarse de que la longitud combinada del paquete IPv6 y el encabezado de capa 2 sea inferior a la longitud de trama de capa 2.
Límite de salto. Comprueba que el límite de salto no especifique 0 (cero).
Comprobaciones de direcciones. Comprueba que la dirección IP de origen no especifica ::0 o FF::00 y que la dirección IP de destino no especifica ::0 ni ::1.
La NPU realiza comprobaciones de encabezado de extensión IPv6, incluidas las siguientes:
Opciones salto a salto. Comprueba que este es el primer encabezado de extensión que sigue al encabezado básico IPv6.
Extensión de enrutamiento. Comprueba que solo haya un encabezado de extensión de enrutamiento.
Opciones de destino. Verifica que no se incluyan más de dos encabezados de extensión de opciones de destino.
Fragmento. Comprueba que solo haya un encabezado de fragmento.
Nota:La NPU trata cualquier otro encabezado de extensión como un encabezado de capa 4.
La NPU realiza comprobaciones de los protocolos TCP, UDP e ICMP6 de capa 4, incluidas las siguientes:
UDP. Comprueba que los paquetes de longitud de carga IP, que no sean un paquete de primer fragmento, tengan al menos 8 bytes de longitud.
TCP. Comprueba que los paquetes de longitud de carga IP, que no sean un paquete de primer fragmento, tengan al menos 20 bytes de longitud.
ICMPv6. Comprueba que los paquetes de longitud de carga IP, que no sean un paquete de primer fragmento, tengan al menos 8 bytes de longitud.
Si el paquete especifica un protocolo TCP o UDP, la NPU crea una tupla a partir de los datos del encabezado del paquete utilizando la siguiente información:
Dirección IP de origen
Dirección IP de destino
Puerto de origen
Puerto de destino
Protocolo
Identificador de enrutador virtual (VRID)
El dispositivo busca el VRID desde una tabla VRID.
Para los paquetes del Protocolo de mensajes de control de Internet versión 6 (ICMPv6), la tupla contiene la misma información que se utiliza para la clave de búsqueda TCP y UDP, excepto para los campos puerto de origen y destino. Los campos puerto de origen y destino se sustituyen por la siguiente información extraída del paquete ICMPv6:
Para paquetes de error ICMP: El patrón "0x00010001"
Para paquetes de información ICMP: El tipo, código, identificador de campo
Para los paquetes con un encabezado de encabezado de autenticación (AH) o un encabezado de carga de seguridad de encapsulación (ESP), la clave de búsqueda es la misma que la utilizada para TCP y la tupla UDP, excepto para los campos puerto de origen y destino. En este caso, se utiliza el valor del campo índice de parámetros de seguridad (SPI) en lugar de los puertos de origen y destino. Para el encabezado de carga de seguridad encapsulada (ESP) y el encabezado de autenticación (AH), antes de las mejoras en la arquitectura del punto cenral, se aplica un algoritmo hash mediante el campo 3-tupla y el campo de índice de parámetros de seguridad (SPI), después de las mejoras en la arquitectura del punto cenral, un par de IP lo hashe.
Si existe una sesión para el flujo del paquete, la NPU envía el paquete a la SPU que administra la sesión.
Si no existe una sesión coincidente,
La NPU envía la información del paquete al punto central, que crea una sesión pendiente.
El punto central selecciona una SPU para procesar el paquete y crear sesiones para él.
Luego, la SPU envía mensajes de creación de sesión al punto central y a las NPU de entrada y salida, indicándoles que creen una sesión para el flujo de paquetes.
Un punto central, que puede ejecutarse en una SPU dedicada, o compartir los recursos de una si solo hay una SPU. Un punto central se encarga del arbitraje y la asignación de recursos, y distribuye las sesiones de forma inteligente. El punto central asigna una SPU para ser utilizada para una sesión determinada cuando la SPU procesa el primer paquete de su flujo.
Para los dispositivos de línea de SRX5000, la arquitectura de punto central se divide en dos módulos: el punto central de aplicación y el punto central distribuido (DCP). La App-CP es responsable de la gestión de recursos globales y del equilibrio de carga, mientras que DCP es responsable de la identificación del tráfico (coincidencia de sesión global). La funcionalidad App-CP se ejecuta en la SPU de punto central dedicada, mientras que la funcionalidad DCP se distribuye al resto de las SPU.
Una o más SPU que se ejecutan en una tarjeta de procesamiento de servicios (SPC). Todos los servicios basados en flujo para un paquete se ejecutan en una sola SPU, en el contexto de una sesión configurada para el flujo de paquetes.
El SPC para dispositivos de línea SRX5000 tiene dos SPU.
Se pueden instalar varias SPC en un chasis.
Principalmente, una SPU realiza las siguientes tareas:
Administra la sesión y aplica funciones de seguridad y otros servicios al paquete.
Aplica filtros, clasificadores y formadores de tráfico de firewall sin estado basados en paquetes.
Si aún no existe una sesión para un paquete, la SPU envía un mensaje de solicitud a la NPU que realizó la búsqueda de la sesión del paquete, para indicarle que agregue una sesión para él.
Estas partes discretas y cooperantes del sistema almacenan la información que identifica si existe una sesión para una secuencia de paquetes y la información con la que se compara un paquete para determinar si pertenece a una sesión existente.
Habilitación del procesamiento basado en flujos para el tráfico IPv6
Tiene las siguientes opciones para controlar el tráfico IPv6:
Drop: no reenvíe paquetes IPv6.
Reenvío basado en paquetes: no cree una sesión ni procese únicamente de acuerdo con las funciones basadas en paquetes (incluye filtros de firewall y clase de servicio).
Reenvío basado en flujos: cree una sesión y un proceso de acuerdo con las funciones basadas en paquetes (incluidos los filtros de firewall y la clase de servicio), pero también con las funciones de seguridad basadas en flujos, como las pantallas y la política de seguridad del firewall. Este es el comportamiento predeterminado.
Para habilitar el procesamiento basado en flujos para el tráfico IPv6, modifique la mode instrucción en el nivel de jerarquía [edit security forwarding-options family inet6]:
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
En el siguiente ejemplo se muestran los comandos de CLI que se usan para configurar el reenvío para el tráfico IPv6:
[edit]
user@host# set security forwarding-options family inet6 mode ?
Possible completions:
drop Disable forwarding
flow-based Enable flow-based forwarding
packet-based Enable packet-based forwarding
[edit]
user@host# set security forwarding-options family inet6 mode flow-based
user@host# show security forwarding-options
family {
inet6 {
mode flow-based;
}
}
Si cambia el modo de opción de reenvío para IPv6, es posible que deba realizar un reinicio para inicializar el cambio de configuración. En la tabla 1 se resume el estado del dispositivo al cambiar la configuración.
Cambio de configuración |
Advertencia de confirmación |
Se requiere reinicio |
Impacto en el tráfico existente antes del reinicio |
Impacto en el tráfico nuevo antes del reinicio |
|---|---|---|---|---|
Caída a base de flujo |
Sí |
Sí |
Cayó |
Cayó |
Colocar en paquetes |
No |
No |
Basado en paquetes |
Basado en paquetes |
Basado en flujos a paquetes |
Sí |
Sí |
Ninguno |
Sesiones de flujo creadas |
Basado en flujo para caída |
Sí |
Sí |
Ninguno |
Sesiones de flujo creadas |
Basado en paquetes a basado en flujos |
Sí |
Sí |
Basado en paquetes |
Basado en paquetes |
Basado en paquetes para descartar |
No |
No |
Cayó |
Cayó |
Procesamiento basado en flujos para tráfico IPv6 en dispositivos de seguridad
El modo de procesamiento basado en flujos es necesario para que funcionen características de seguridad como zonas, pantallas y políticas de firewall. De forma predeterminada, el firewall de la serie SRX está habilitado para el reenvío basado en flujos para el tráfico IPv6 en todos los dispositivos, excepto en la serie SRX300 y SRX550M dispositivos que están configurados en modo de caída. A partir de Junos OS versión 15.1X49-D70 y Junos OS versión 17.3R1, para los dispositivos serie SRX1500, SRX4100, SRX4200, SRX5400, SRX5600, SRX5800 y vSRX Virtual Firewall, no es necesario reiniciar el dispositivo cuando cambie los modos entre el modo de flujo, el modo de paquete y el modo de entrega. En el caso de los dispositivos serie SRX300 y SRX550M, debe reiniciar el dispositivo al cambiar entre el modo de flujo, el modo de paquetes y el modo de entrega.
SRX300 Series and the SRX550M Devices
Cuando IPv6 está configurado en la serie SRX300 y los dispositivos SRX550M, el comportamiento predeterminado se establece en modo de caída debido a limitaciones de memoria. En este caso, debe reiniciar el dispositivo después de cambiar el modo de procesamiento del modo de colocación predeterminado al modo de procesamiento basado en flujo o al modo de procesamiento basado en paquetes, es decir, entre modos en estos dispositivos.
Para el procesamiento del modo de caída, el tráfico se deja caer directamente, no se reenvía. Difiere del procesamiento en modo de paquete para el que se maneja el tráfico pero no se aplican procesos de seguridad.
Para procesar el tráfico IPv6 en la serie SRX300 y los dispositivos SRX550M, debe configurar direcciones IPv6 para las interfaces de tránsito que reciben y reenvían el tráfico. Para obtener información acerca de la familia de protocolos inet6 y los procedimientos para configurar direcciones IPv6 para interfaces.
Configuring an SRX Series Device as a Border Router
Cuando un firewall de la serie SRX de cualquier tipo está habilitado para el procesamiento basado en flujo o el modo de entrega, para configurar el dispositivo como un enrutador de borde debe cambiar el modo a procesamiento basado en paquetes para MPLS. En este caso, para configurar el firewall de la serie SRX en modo de paquete para MPLS, utilice la set security forwarding-options family mpls mode packet-based instrucción.
Como se mencionó, para la serie SRX300 y los dispositivos SRX550M, cada vez que cambie los modos de procesamiento, debe reiniciar el dispositivo.
Enabling Flow-Based Processing for IPv6 Traffic on SRX300 Series and SRX550M Devices
Para habilitar el reenvío basado en flujos para el tráfico IPv6 en la serie SRX300 y los dispositivos SRX550M, modifique el modo en el nivel de jerarquía [edit security forwarding-options family inet6]:
security {
forwarding-options {
family {
inet6 {
mode flow-based;
}
}
}
}
Para configurar el reenvío para el tráfico IPv6 en la serie SRX300 o en un dispositivo SRX500M:
Para los dispositivos serie SRX300 y SRX500M, el dispositivo descarta los paquetes de encabezado de enrutamiento IPv6 tipo 0 (RH0).
Uso de filtros para mostrar información de sesión y flujo IPv6 para puertas de enlace de servicios de la serie SRX
Propósito
Puede mostrar información de flujo y sesión sobre una o más sesiones con el show security flow session comando. Las sesiones IPv6 se incluyen en estadísticas agregadas.
Puede usar los siguientes filtros con el show security flow session comando: application, destination-port, destination-prefix, family, idp, interface, nat, protocol, resource-manager, session-identifier, source-port, source-prefix y tunnel.
A excepción del filtro de identificador de sesión, la salida de todos los demás filtros se puede ver en modo breve, resumen y extensivo. El modo breve es el modo predeterminado. La salida del filtro de identificador de sesión solo se puede ver en el modo breve.
Puede utilizar las mismas opciones de filtro con el clear security flow session comando para finalizar sesiones.
Acción
En los ejemplos siguientes se muestra cómo utilizar filtros relacionados con IPv6 para mostrar resúmenes y detalles de las sesiones IPv6.
A partir de Junos OS versión 15.1X49-D30 y Junos OS versión 17.3R1, muchos de estos resúmenes de sesión incluyen ID de sesión CP.
Informe resumido filtrado basado en la familia
root> show security flow session summary family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session summary family inet6 Flow Sessions on FPC10 PIC1: Valid sessions: 2 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 2 Flow Sessions on FPC10 PIC2: Valid sessions: 1 Pending sessions: 0 Invalidated sessions: 0 Sessions in other states: 0 Total sessions: 1 Flow Sessions on FPC10 PIC3: Valid sessions: 0 Pending sessions: 0 Invalidated sessions: 1 Sessions in other states: 0 Total sessions: 1
Informe detallado filtrado basado en la familia
root> show security flow session family ? Possible completions: inet Show IPv4 sessions inet6 Show IPv6/IPv6-NATPT sessions root> show security flow session family inet6 Flow Sessions on FPC10 PIC1: Total sessions: 0 Flow Sessions on FPC10 PIC2: Total sessions: 0 Flow Sessions on FPC10 PIC3: Session ID: 430000026, Policy name: default-policy-00/2, Timeout: 1794, Valid In: 2001:db8::10/64712 -> 2001:db8::4/21;tcp If: ge-7/1/0.0, Pkts: 8, Bytes: 562, CP Session ID: 430000025 Out: 2001:db8::4/21 --> 2001:db8::10/64712;tcp, If: ge-7/1/1.0, Pkts: 12, Bytes: 1014, CP Session ID: 430000025 Total sessions: 1
Informe breve filtrado basado en la familia
root> show security flow session family inet brief Flow Sessions on FPC10 PIC1: Session ID: 410000031, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/3 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000039 Out: 198.51.100.11/43053 --> 203.0.113.8/3;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 410000039 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000034, Policy name: default-policy-00/2, Timeout: 48, Valid In: 203.0.113.8/4 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000041 Out: 198.51.100.11/43053 --> 203.0.113.8/4;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000041 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000042, Policy name: default-policy-00/2, Timeout: 44, Valid In: 203.0.113.8/2 --> 198.51.100.11/43053;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000041 Out: 198.51.100.11/43053 --> 203.0.113.8/2;icmp, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000041 Total sessions: 1 2001:dbf8::6:2/32
Informe detallado filtrado basado en un prefijo de origen IPv6
root> show security flow session source-prefix 2001:dbf8::
Flow Sessions on FPC10 PIC1:
Session ID: 410000066, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/3 > 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8:5::2/323;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000076
Session ID: 410000068, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::2/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Out: 2001:dbf8:5::2/7214 --> 2001:dbf8::6:2/4;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 410000077
Total sessions: 2
Flow Sessions on FPC10 PIC2:
Session ID: 420000067, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/4 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 420000080
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/4 ;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 420000080
Total sessions: 1
Flow Sessions on FPC10 PIC3:
Session ID: 430000077, Policy name: default-policy-00/2, Timeout: 28, Valid
In: 2001:dbf8::6:2/3 --> 2001:dbf8:5::3/6702;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000075
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/3;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000075
Session ID: 430000078, Policy name: default-policy-00/2, Timeout: 30, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::3/6702, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000076
Out: 2001:dbf8:5::3/6702 --> 2001:dbf8::6:2/5;icmp6, If: ge-7/1/1.0, Pkts: 0, Bytes: 0, CP Session ID: 430000076
Session ID: 430000079, Policy name: default-policy-00/2, Timeout: 2, Valid
In: 2001:dbf8::6:2/5 --> 2001:dbf8:5::1/7214;icmp6, If: ge-7/1/0.0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Out: 2001:dbf8:5::1/7214 --> 2001:dbf8::6:2/5;icmp6, If: .local..0, Pkts: 1, Bytes: 104, CP Session ID: 430000077
Total sessions: 3
Informe detallado con múltiples filtros basado en la familia, el protocolo y el prefijo de origen
root> show security flow session family inet protocol icmp source-prefix 2001:db8:: Flow Sessions on FPC10 PIC1: Session ID: 410000074, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/1 --> 2001:dbf8:8::2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Out: 2001:dbf8:8::2 --> 2001:dbf8::6:2/1;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 410000195 Total sessions: 1 Flow Sessions on FPC10 PIC2: Session ID: 420000075, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/3 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/3;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 420000159 Total sessions: 1 Flow Sessions on FPC10 PIC3: Session ID: 430000085, Policy name: default-policy-00/2, Timeout: 2, Valid In: 2001:dbf8::6:2/4 --> 2001:dbf8::6:2/26935;icmp, If: ge-7/1/0.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Out: 2001:dbf8::6:2/26935 --> 2001:dbf8::6:2/4;icmp, If: ge-7/1/1.0, Pkts: 1, Bytes: 84, CP Session ID: 430000083 Total sessions: 1
Borrar todas las sesiones, incluidas las sesiones IPv6
root> clear security flow session all This command may terminate the current session too. Continue? [yes,no] (no) yes 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
Borrar solo las sesiones IPv6
root> clear security flow session family ? Possible completions: inet Clear IPv4 sessions inet6 Clear IPv6/IPv6-NATPT sessions root> clear security flow session family inet6 0 active sessions cleared 1 active sessions cleared 1 active sessions cleared 1 active sessions cleared
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.