Segurança : Dispositivos de segurança Cisco PIX 500 Series

Edição PIX/ASA 7.X: MSS Excedido - Os Clientes HTTP não Podem Consultar Alguns Web Sites

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Tradução Manual (1 Julho 2009) | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento endereça o problema quando alguns Web site não são acessíveis com um PIX ou a ferramenta de segurança adaptável (ASA) essa executa 7.0 ou código mais recente. A versão 7.0 introduz diversos novos aprimoramentos de segurança, sendo um dele uma verificação por pontos de extremidade de TCP que se aderem ao Tamanho Máximo de Segmento (MSS) anunciado. Em uma sessão de TCP normal, o cliente envia um pacote SYN ao servidor com o MSS incluído dentro das opções de TCP do pacote SYN. O servidor, após receber o pacote SYN, deverá reconhecer o valor do MSS enviado pelo cliente e, então, enviar seu próprio valor de MSS no pacote SYN-ACK. Quando o cliente e o servidor estiverem cientes do MSS de cada um, nem o peer deverá enviar um pacote para outro que seja maior do que o MSS desse peer. Um descoberta foi realizada que há alguns servidores HTTP na Internet que não honram o MSS que o cliente anuncia. Subsequentemente, o servidor HTTP envia pacotes de dados ao cliente que é maior que o MSS anunciado. Antes da versão 7.0, estes pacotes eram permitidos através do Mecanismo de Segurança PIX. Com o aprimoramento da segurança incluído na versão 7.0 do software, estes pacotes foram reduzidos por padrão. Este documento foi projetado para auxiliar o administrador do PIX/ASA Security Appliance a diagnosticar este problema e na implementação de uma solução para permitir pacotes que excedem o MSS.

Refira a edição ASA 8.3: MSS excedido - Os clientes HTTP não podem consultar a alguns Web site para obter mais informações sobre da configuração idêntica usando o Security Device Manager adaptável (ASDM) com Cisco ASA com versão 8.3 e mais recente.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada em uma Aplicação de segurança Cisco PIX 525 que execute o software 7.0.1.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Você pode igualmente usar este documento com estes versão de hardware e software:

  • Todas Plataformas restantes da ferramenta de segurança de Cisco PIX que podem executar a liberação 7.0. Estas Plataformas incluem os 515, 515E, e 535.

  • Todas as plataformas ASA Cisco. Estas Plataformas incluem os 5510, os 5520, e os 5540.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Esta seção apresenta informações para configurar as características que este documento descreve.

Nota: Use a Command Lookup Tool (apenas para clientes registrados) para obter informações adicionais sobre os comandos que este documento usa.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede:

/image/gif/paws/65436/pix-asa-70-browse-1.gif

Configuração da ferramenta de segurança 7.0 PIX

Estes comandos configuration são adicionados a uma configuração padrão PIX 7.0 permitir que o cliente HTTP comunique-se com o Server do HTTP.

Configuração PIX 7.0.1
pixfirewall(config)#interface Ethernet0
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif outside
pixfirewall(config-if)#security-level 0
pixfirewall(config-if)#ip address 192.168.9.30 255.255.255.0
pixfirewall(config-if)#exit 
pixfirewall(config)#interface Ethernet1
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif inside
pixfirewall(config-if)#security-level 100
pixfirewall(config-if)#ip address 10.0.0.1 255.255.255.0 
pixfirewall(config-if)#exit 
pixfirewall(config)#global (outside) 1 interface
pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0
pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1

Troubleshooting

Se um Web site particular não é acessível através da ferramenta de segurança PIX/ASA, termine estas etapas para pesquisar defeitos. Você precisa primeiramente de capturar os pacotes da conexão de HTTP. A fim recolher os pacotes, os endereços IP de Um ou Mais Servidores Cisco ICM NT relevantes do Server do HTTP e o cliente precisam de ser conhecidos, assim como o endereço IP de Um ou Mais Servidores Cisco ICM NT que o cliente está traduzido a quando atravessa a ferramenta de segurança PIX. Na rede de exemplo, o Server do HTTP é endereçado em 192.168.9.2, o cliente HTTP é endereçado em 10.0.0.2, e os endereços do cliente HTTP estão traduzidos a 192.168.9.30 enquanto os pacotes saem da interface externa. Você pode usar a característica da captação da ferramenta de segurança PIX/ASA para recolher os pacotes, ou você pode utilizar uma captura de pacote de informação externo. Se você pretende usar a característica da captação, o administrador pode igualmente utilizar uma característica nova da captação incluída na liberação 7.0 que permite que o administrador capture os pacotes que são deixado cair devido a uma anomalia de TCP.

Nota: Alguns dos comandos nestas tabelas são envolvidos a uma segunda linha devido às razões espaciais.

  1. Defina um par de listas de acesso que identificam os pacotes como elas ingresso e saída a parte externa e as interfaces internas.

    Configuração de lista de acesso para a captura de pacote de informação
    pixfirewall(config)#access-list capture-list-in line 1 permitip host 10.0.0.2 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-in line 2 permit ip host 192.168.9.2 host 10.0.0.2 
    
    pixfirewall(config)#access-list capture-list-out line 1 permit ip host 192.168.9.30 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-out line 2 permit ip host 192.168.9.2 host 192.168.9.30
    

  2. Permita a característica da captação para ambos a interface interna e externa. Igualmente permita a captação para pacotes MSS-excedidos TCP-específicos.

    Capture a configuração para a captura de pacote de informação
    pixfirewall(config)#capture capture-outside access-list capture-list-out packet-length 1518 interface outside
    
    pixfirewall(config)#capture capture-inside access-list capture-list-in packet-length 1518 interface inside
    
    pixfirewall(config)#capture mss-capture type asp-drop tcp-mss-exceeded packet-length 1518
    

  3. Cancele os contadores acelerados do trajeto da Segurança (ASP) na ferramenta de segurança PIX.

    Cancele estatísticas da gota ASP
    pixfirewall(config)#clear asp drop
    

  4. Permita a informações de syslog da armadilha a nível de debug enviado a um host na rede.

    Permita o registo da armadilha
    pixfirewall(config)#logging on
    pixfirewall(config)#logging host inside 10.0.0.2
    pixfirewall(config)#logging trap debug
    

  5. Inicie uma sessão de HTTP do cliente HTTP ao Server do HTTP problemático.

    Recolha as saídas de SYSLOG e a saída destes comandos depois que a conexão falha.

    • mostre a captação captação-dentro de

    • mostre a captação-parte externa da captação

    • mostre a mss-captação da captação

    • mostre a gota asp

    Syslog de uma falha na conexão
    %PIX-6-609001: Built local-host inside:10.0.0.2
    %PIX-6-609001: Built local-host outside:192.168.9.2
    %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to 
    outside:192.168.9.30/1024
    %PIX-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80 
    (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024)
    %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
     
    
    !--- Under normal circumstances, you expect 
    !--- to see the TCP connection torn down immediately 
    !--- after the retrieval of the web content from 
    !--- the HTTP server.  When the problem occurs, the 
    !--- data packets from the HTTP server are dropped on 
    !--- the outside interface and the connection  
    !--- remains until either side resets the connection 
    !--  or the PIX Security Appliance connection idle 
    !--- timer expires.  Therefore, you do not immediately
    !--- see the 302014 syslog message (TCP teardown).
    
     
    
     
    
    !--- In PIX release 7.0.2 and later, the PIX 
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format: 
    
    
    %PIX-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440
    
    
    
    
    !--- In ASA release 7.0.2 and later, the ASA
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format:
    
    
    %ASA-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440

    Nota: Refira o mensagem de Log de sistema 419001 para obter mais informações sobre deste Mensagem de Erro.

    Saídas do comando show de uma falha na conexão
    pixfirewall#show capture capture-inside
    6 packets captured
       1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80: 
          S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565: 
          S 1460644203:1460644203(0) ack 3965932252 win 8192 <mss 1380>
       3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: . ack 1460644204 win 1840
       4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80: 
          P 3965932252:3965932351(99) ack 1460644204 win 1840
       5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 8192
       6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 65340
    6 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show capture capture-outside
    16 packets captured
       1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80: 
          S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024: 
          S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460>
       3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: . ack 314834195 win 1840
       4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80: 
          P 473738108:473738207(99) ack 314834195 win 1840
       5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 8192
       6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 65340
     
    
    !--- In packets 7 through 14, the length of the packet exceeds 460.
    !--- Packets 7 through 14 are not observed on the capture-inside trace.
    !--- This means that they were dropped by the PIX Security Appliance.
    !--- Packets 7 through 14 are also represented in the output of the 
    !--- show capture mss-capture command.
    
     
       7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
      10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
      11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
      12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024: 
          F 314841035:314841035(0) ack 473738207 win 65340
      16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80: 
          P ack 314834195 win 1840
    16 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall(config)#show capture mss-capture
    8 packets captured
       1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
       4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
       5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
       6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
    8 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show asp drop
     
    Frame drop:
      TCP MSS was too large 8
     
    Flow drop:
    pixfirewall#
     
    
    !--- The show asp drop command reports 
    !--- that eight packets were dropped because the
    !--- TCP MSS is to large. This corroborates the information derived from
    !--- the packet captures.
    
    

Solução

Execute uma ação alternativa agora que você sabe que a ferramenta de segurança PIX/ASA deixa cair os pacotes que excedem o valor MSS anunciado pelo cliente. Mantenha na mente que você não pôde querer permitir que estes pacotes alcancem o cliente devido a um buffer potencial passado no cliente. Se você escolhe permitir estes pacotes através da ferramenta de segurança PIX/ASA, continue com este procedimento de solução. Uns novos recursos na liberação 7.0 chamada a estrutura de política modular (MPF) são usados para permitir estes pacotes através da ferramenta de segurança PIX. Este documento não é projetado detalhar inteiramente o MPF, mas sugere um pouco as entidades de configuração usadas para trabalhar em torno do problema. Refira o manual de configuração PIX 7.0 e o manual de referência de comando PIX 7.0 para obter mais informações sobre do MPF e de algum dos comandos alistados nesta seção.

Uma vista geral à ação alternativa inclui a identificação do cliente HTTP e dos server através de uma lista de acesso. Uma vez que a lista de acesso é definida, um mapa de classe está criado e a lista de acesso é atribuída ao mapa de classe. Um tcp-mapa é configurado então e a opção para permitir os pacotes que excedem o MSS é permitida. Uma vez que o TCP-mapa e o mapa de classe são definidos, você pode adicionar-lo a um mapa de política novo ou existente. Um mapa de política é atribuído então a uma política de segurança. Use o comando service-policy no modo de configuração ativar um mapa de política em uma relação/globalmente. Estes parâmetros de configuração são adicionados à lista da configuração PIX 7.0. Depois que você cria um mapa de política nomeado http-map1, esta configuração de exemplo adiciona o mapa de classe a este mapa de política.

Relação específica: Configuração MPF para permitir os pacotes que excedem o MSS
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match access-list http-list2    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 interface outside
pixfirewall#

Uma vez que estes parâmetros de configuração são no lugar, os pacotes de 192.168.9.2 que excedem o MSS anunciado pelo cliente estão permitidos através da ferramenta de segurança PIX. É importante notar que a lista de acesso usada no mapa de classe está projetada identificar o tráfego de saída a 192.168.9.2. O tráfego de saída é examinado para permitir que o motor da inspeção extraia o MSS do pacote SYN que parte. Consequentemente, é imperativo configurar a lista de acesso com o sentido do SYN na mente. Se uma regra mais patente é exigida, você pode substituir a instrução de lista de acesso nesta seção com uma lista de acesso que permita tudo, tal como a licença IP da lista de acesso http-list2 alguma ou licença tcp da lista de acesso http-list2 alguma. Igualmente recorde que o túnel VPN pode ser lento se um grande valor de TCP MSS é usado. Você pode reduzir TCP MSS para melhorar o desempenho.

Este exemplo ajuda a configurar globalmente de entrada/tráfego de saída em ASA/PIX:

Configuração global: Configuração MPF para permitir os pacotes que excedem o MSS
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match any    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 global
pixfirewall#

Verificar

Esta seção fornece informações que você pode usar para confirmar se sua configuração funciona adequadamente.

Repita as etapas na seção da pesquisa de defeitos para verificar que as alterações de configuração fazem o que são projetadas fazer.

Syslog de uma conexão bem sucedida
%PIX-6-609001: Built local-host inside:10.0.0.2
%PIX-6-609001: Built local-host outside:192.168.9.2
%PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798 
               to outside:192.168.9.30/1025
%PIX-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80 
               (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025)
%PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/

%PIX-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to 
               inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs
 

!--- The connection is built and immediately torn down
!--- when the web content is retrieved.

Saídas do comando show de uma conexão bem sucedida
pixfirewall# 
pixfirewall#show capture capture-inside
21 packets captured
   1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S 751781751:751781751(0) 
   win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
 

!--- The advertised MSS of the client is 460 in packet #1.
!--- However, with the workaround in place, packets 7, 9, 11, 13,
!--- and 15 appear on the inside trace, despite the MSS>460.

 
   2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380>
   3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305880752 win 1840
   4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P 751781752:751781851(99) ack 1305880752 win 1840
   5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 8192
   6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 25840
   7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: . 1305880752:1305882112(1360) ack 751781851 win 25840
   8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305882112 win 4080
   9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P 1305882112:1305883472(1360) ack 751781851 win 25840
  10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305883472 win 6800
  11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: . 1305883472:1305884832(1360) ack 751781851 win 25840
  12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305884832 win 9520
  13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P 1305884832:1305886192(1360) ack 751781851 win 25840
  14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305886192 win 12240
  15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: . 1305886192:1305887552(1360) ack 751781851 win 25840
  16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P 1305887552:1305887593(41) ack 751781851 win 25840
  17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887552 win 14960
  18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887593 win 14960
  19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F 751781851:751781851(0) ack 1305887593 win 14960
  20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F 1305887593:1305887593(0) ack 751781852 win 8192
  21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887594 win 14960
21 packets shown
pixfirewall# 
pixfirewall# 
pixfirewall#show capture capture-outside
21 packets captured
   1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80: 
      S 1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
   2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024: 
      S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460>
   3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: . ack 466908059 win 1840
   4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P 1465558596:1465558695(99) ack 466908059 win 1840
   5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 8192
   6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 25840
   7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: . 466908059:466909419(1360) ack 1465558695 win 25840
   8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: . ack 466909419 win 4080
   9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P 466909419:466910779(1360) ack 1465558695 win 25840
  10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: . ack 466910779 win 6800
  11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: . 466910779:466912139(1360) ack 1465558695 win 25840
  12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: . ack 466912139 win 9520
  13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P 466912139:466913499(1360) ack 1465558695 win 25840
  14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P 466914859:466914900(41) ack 1465558695 win 25840
  15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: . ack 466913499 win 12240
  16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: . 466913499:466914859(1360) ack 1465558695 win 25840
  17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914859 win 14960
  18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914900 win 14960
  19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F 1465558695:1465558695(0) ack 466914900 win 14960
  20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F 466914900:466914900(0) ack 1465558696 win 8192
  21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914901 win 14960
21 packets shown
pixfirewall#
pixfirewall(config)#show capture mss-capture
0 packets captured
0 packets shown
pixfirewall#
pixfirewall#show asp drop
 
Frame drop:
 
Flow drop:
pixfirewall#
 

!--- Both the show capture mss-capture 
!--- and the show asp drop reveal that no packets are dropped.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 65436