Descripción general del procesamiento basado en flujo IPv6
Obtenga información sobre cómo los firewalls de la serie SRX procesan paquetes IPv6, encabezados de extensión IPv6 y paquetes ICMPv6.
Descripción general del encabezado de paquete IPv6 y de la serie SRX
Cada paquete IPv6 tiene un encabezado de paquete básico de un mínimo de 40 bytes (320 bits). El encabezado de paquete IPv6 opcionalmente tiene encabezados de extensión, que contienen la información complementaria sobre los dispositivos de red.
Para los paquetes IPv6, el procesamiento de flujo analiza los encabezados de extensión y los encabezados de capa de transporte de la siguiente manera:
Si el software encuentra un encabezado TCP, UDP, ESP, AH o ICMPv6, analiza el encabezado y asume que la carga del paquete corresponde al tipo de protocolo especificado.
Si el software encuentra un encabezado salto a salto, un encabezado de enrutamiento y destino, o un encabezado de fragmento, continúa analizando el siguiente encabezado de extensión.
Si encuentra el encabezado de extensión no-next-header, el software detecta que el paquete es el de un protocolo desconocido (protocolo es igual a 0).
Para otros encabezados de extensión, el software analiza el encabezado e identifica el paquete como perteneciente al protocolo indicado por el encabezado de extensión.
Descripción de las extensiones de encabezado de paquete IPv6
Los encabezados de extensión IPv6 contienen información complementaria que usan los dispositivos de red (como enrutadores, conmutadores y hosts de punto de conexión) para decidir cómo dirigir o procesar un paquete IPv6. La longitud de cada encabezado de extensión es un múltiplo entero de 8 octetos. Esto permite que los encabezados de extensión posteriores utilicen estructuras de 8 octetos.
Cualquier encabezado seguido de un encabezado de extensión contiene un valor de encabezado siguiente que identifica el tipo de encabezado de extensión. Los encabezados de extensión se pueden colocar entre el encabezado IPv6 y el encabezado de capa superior de un paquete. La figura 1 muestra un paquete IPv6 con el encabezado de opciones salto a salto. Del mismo modo, un encabezado IPv6 puede llevar cero, uno o más encabezados de extensión, cada uno identificado por el campo Encabezado siguiente del encabezado anterior. Los encabezados de extensión siempre siguen el encabezado IPv6 básico en el orden que se muestra en la Tabla 1:
Nombre del encabezado |
Propósito |
Siguiente valor de encabezado |
---|---|---|
Opciones de salto a salto |
Especifica parámetros de entrega en cada salto de la ruta al host de destino. Una opción salto a salto solo puede aparecer después del encabezado básico IPv6. Si se usa, debe ser el primer encabezado de extensión. No puede aparecer después de otro encabezado de extensión. |
0 |
Opciones de destino |
Especifica parámetros de entrega de paquetes para dispositivos de destino intermedios o para el host de destino final. Cuando un paquete utiliza este encabezado. |
60 |
Enrutamiento |
Define el enrutamiento de origen estricto y el enrutamiento de origen flexible para el paquete. (Con un enrutamiento de origen estricto, cada dispositivo de destino intermedio debe estar a un solo salto de distancia. Con el enrutamiento de fuente suelta, los dispositivos de destino intermedio pueden estar a uno o más saltos de distancia) |
43 |
Fragmento |
Especifica cómo realizar los servicios de fragmentación y reensamblado de IPv6. Un nodo de origen utiliza el encabezado de extensión de fragmento para indicar al nodo de destino el tamaño del paquete fragmentado para que el nodo de destino pueda volver a ensamblar el paquete. |
44 |
Autenticación |
Proporciona autenticación, integridad de datos y protección antireproducción. |
51 |
Carga de seguridad encapsulada |
Proporciona confidencialidad de datos, autenticación de datos y protección antireproducción para paquetes de carga de seguridad encapsulada (ESP). |
50 |
Dirección IP de destino |
Identifica el dispositivo host, o la interfaz de un nodo, al que se va a enviar el paquete IPv6. La dirección de destino puede aparecer dos veces, la primera instancia después del límite de salto después de la dirección IP de origen y la segunda instancia después del encabezado de extensión final. |
60 |
Para obtener información sobre IPv6, consulte RFC2460.
Ver también
Descripción de cómo los firewalls de la serie SRX manejan los paquetes ICMPv6
En este tema se explican los mensajes ICMP (Protocolo de mensajes de control de Internet) y cómo los utiliza Junos OS para firewalls de la serie SRX.
ICMP proporciona un marco para informar errores de procesamiento de paquetes, con fines de diagnóstico y para funciones específicas de implementación. Los mensajes de error ICMP hacen posible que un nodo informe a otro nodo que algo ha salido mal durante el curso de la transferencia de datos. Cuando se definió IP versión 6 (IPv6), las diferencias entre IP versión 4 (IPv4) y ella eran lo suficientemente significativas como para requerir una nueva versión de ICMP.
Cada mensaje ICMPv6 está precedido por un encabezado IPv6 y cero o más encabezados de extensión IPv6. El encabezado ICMPv6 se identifica mediante un valor de encabezado siguiente de 58 en el encabezado inmediatamente anterior. Esto es diferente del valor utilizado para identificar ICMP para IPv4. Todos los mensajes de error ICMPv6 tienen 32 bits de datos específicos del tipo para ayudar al destinatario del paquete a localizar el paquete de invocación incrustado.
La mayoría de los paquetes ICMPv6 tienen las mismas características y comportamiento que los paquetes IPv6 normales, y el módulo de flujo de Junos OS los procesa a través de la primera ruta y el procesamiento de ruta rápida de la misma manera que lo hace con los paquetes IPv6 normales. La Tabla 2 muestra los tipos de paquetes incrustados ICMPv6 que el módulo de flujo maneja de manera diferente a los paquetes ICMPv6 normales.
Para estos paquetes, el módulo de flujo utiliza una tupla que crea a partir del paquete ICMPv6 incrustado para buscar una sesión coincidente. Continúa procesando el paquete sin modificar la unidad máxima de transmisión (MTU) hasta que encuentra una sesión coincidente, a menos que reciba un mensaje ICMPv6 Packet Too Big para la interfaz. En este caso, modifica el tamaño de MTU para esa interfaz. Si el módulo de flujo no encuentra una sesión coincidente o si no puede obtener un encabezado IPv6 válido de la carga incrustada, descarta el paquete.
Un mensaje de paquete demasiado grande es el único tipo de paquete ICMPv6 que hará que el módulo de flujo modifique una interfaz.
Mensaje |
Significado |
---|---|
01-Destino inalcanzable |
Cuando un paquete no se puede entregar debido a un problema con la forma en que se envía, es útil tener un mecanismo de retroalimentación que pueda informar al origen sobre el problema, incluida la razón por la cual falló la entrega del paquete. Para IPv6, el mensaje Destino inalcanzable sirve para este propósito. Cada mensaje incluye un código que indica la naturaleza del problema que causó el error en la entrega del paquete. También incluye todo o parte del paquete que no se pudo entregar, para ayudar al dispositivo de origen a resolver el problema. Cuando el módulo de flujo encuentra un paquete ICMP inalcanzable de destino cuyos datos de encabezado de paquete incrustado coinciden con los datos de 5 tuplas para una sesión, el software finaliza la sesión. |
02 paquetes demasiado grandes |
Cuando el módulo de flujo recibe un mensaje ICMPv6 Packet Too Big destinado a él, el módulo de flujo envía el paquete a la pila de protocolos ICMP en el motor de enrutamiento para activar el proceso de descubrimiento de la unidad de transmisión máxima de ruta (ruta MTU). Si el mensaje Paquete demasiado grande no pertenece al dispositivo, sino que es un paquete de tránsito, el dispositivo intenta hacer coincidir los datos incrustados de 5 tuplas con una sesión.
Nota:
Un mensaje de paquete demasiado grande es el único tipo de paquete ICMPv6 que hará que el módulo de flujo modifique una interfaz. |
03 veces excedido |
Cuando el módulo de flujo recibe un paquete que no se puede entregar porque ha superado el recuento de saltos especificado en el campo básico salto a salto de encabezado, envía este mensaje para informar al nodo de origen del paquete de que el paquete se descartó por este motivo. |
04-Problema de parámetros |
Cuando el dispositivo encuentra un problema con un campo en el encabezado IPv6 o encabezados de extensión que le impide procesar el paquete, el software lo descarta y envía este mensaje ICMPv6 al nodo de origen del paquete, indicando el tipo y la ubicación del problema. |