Segurança : Dispositivos de segurança Cisco PIX 500 Series

Problema do PIX/ASA 7.0: MSS Excedido - Os Clientes HTTP Não Conseguem Navegar para Alguns Sites

1 Julho 2009 - Tradução Manual
Outras Versões: Versão em PDFpdf | Tradução por Computador (1 Agosto 2013) | Inglês (3 Agosto 2011) | Feedback

Índice

Introdução
Pré-requisitos
      Requisitos
      Componentes Utilizados
      Produtos Relacionados
      Convenções
Configuração
      Diagrama de Rede
      Configuração do PIX Security Appliance 7.0
Troubleshooting
Solução Alternativa
Verificação
Discussões relacionadas da comunidade de suporte da Cisco

Introdução

Este documento aborda o problema de alguns sites da Web não serem acessíveis através de um PIX ou Adaptive Security Appliance (ASA) com código 7.0 ou posterior. O release 7.0 introduziu vários novos aprimoramentos de segurança, um dos quais é uma verificação de pontos de extremidade TCP que são compatíveis com o Tamanho Máximo do Segmento (MSS) anunciado. Em uma sessão normal de TCP, o cliente envia um pacote SYN para o servidor, com o MSS incluído nas opções de TCP do pacote SYN. O servidor, mediante o recebimento do pacote SYN, deve reconhecer o valor do MSS enviado pelo cliente e, em seguida, enviar seu próprio valor de MSS no pacote SYN-ACK. Quando tanto o cliente quanto o servidor estiverem cientes do MSS do outro, nenhum peer deverá enviar para o outro um pacote maior do que o MSS do peer. Descobriu-se que alguns servidores HTTP na Internet não respeitam o MSS anunciado pelo cliente. Consequentemente, o servidor HTTP envia pacotes de dados para o cliente que são maiores que o MSS anunciado. Antes do release 7.0, esses pacotes eram permitidos no PIX Security Appliance. Com o aprimoramento de segurança incluído no software release 7.0, esses pacotes são descartados por padrão. Este documento foi desenvolvido para ajudar o administrador do PIX/ASA Security Appliance a diagnosticar esse problema e implementar uma solução alternativa para permitir a passagem de pacotes que excedem o MSS.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento baseiam-se em um Cisco PIX 525 Security Appliance com a versão 7.0.1 do software.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração padrão. Se a sua rede estiver em um ambiente de produção, esteja ciente do impacto potencial de qualquer comando.

Produtos Relacionados

Este documento também pode ser utilizado com estas versões de hardware e software:

  • Todas as outras plataformas Cisco PIX Security Appliance que podem executar o release 7.0. Essas plataformas incluem os modelos 515, 515E e 535.

  • Todas as plataformas Cisco ASA. Essas plataformas incluem os modelos 5510, 5520 e 5540.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configuração

Esta seção apresenta as informações necessárias para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Diagrama de Rede

Este documento usa a seguinte configuração de rede:

pix-asa-70-browse-1.gif

Configuração do PIX Security Appliance 7.0

Estes comandos de configuração devem ser adicionados à configuração padrão do PIX 7.0 para permitir a comunicação do cliente HTTP com o servidor HTTP.

Configuração do PIX 7.0.1

pixfirewall(config)#interface Ethernet0
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif outside
pixfirewall(config-if)#security-level 0
pixfirewall(config-if)#ip address 192.168.9.30 255.255.255.0
pixfirewall(config-if)#exit
pixfirewall(config)#interface Ethernet1
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif inside
pixfirewall(config-if)#security-level 100
pixfirewall(config-if)#ip address 10.0.0.1 255.255.255.0
pixfirewall(config-if)#exit
pixfirewall(config)#global (outside) 1 interface
pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0
pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1

Troubleshooting

Se um site específico não puder ser acessado via PIX/ASA Security Appliance, execute os passos a seguir para fazer o troubleshooting. Antes de mais nada, é necessário capturar os pacotes da conexão HTTP. Para coletar os pacotes, os endereços IP relevantes do servidor e do cliente HTTP devem ser conhecidos, bem como o endereço IP para o qual o cliente é convertido ao atravessar o PIX Security Appliance. Na rede de exemplo, o endereço do servidor HTTP é 192.168.9.2 e o do cliente HTTP é 10.0.0.2. O endereço do cliente HTTP é convertido para 192.168.9.30 à medida que os pacotes deixam a interface externa. Você pode usar o recurso de captura do PIX/ASA Security Appliance para coletar os pacotes ou usar um mecanismo externo de captura de pacotes. Se você pretender usar o recurso de captura, o administrador também poderá usar um novo recurso de captura incluído no release 7.0 que permite capturar pacotes descartados devido a uma anomalia de TCP.

Nota: Alguns dos comandos exibidos nestas tabelas estão divididos em duas linhas por questões de espaço.

  1. Defina um par de listas de acesso que identifique os pacotes à medida que eles entram e saem das interfaces externa e interna.

    Configuração da lista de acesso para a captura de pacotes

    pixfirewall(config)#access-list capture-list-in line 1 permitip host 10.0.0.2 host 192.168.9.2
    
    pixfirewall(config)#access-list capture-list-in line 2 permit ip host 192.168.9.2 host 10.0.0.2
    
    pixfirewall(config)#access-list capture-list-out line 1 permit ip host 192.168.9.30 host 192.168.9.2
    
    pixfirewall(config)#access-list capture-list-out line 2 permit ip host 192.168.9.2 host 192.168.9.30
    

  2. Habilite o recurso de captura para as interfaces interna e externa. Habilite também a captura de pacotes que excedem o MSS específico do TCP.

    Configuração de captura para a captura de pacotes

    pixfirewall(config)#capture capture-outside access-list capture-list-out packet-length 1518 interface outside
    
    pixfirewall(config)#capture capture-inside access-list capture-list-in packet-length 1518 interface inside
    
    pixfirewall(config)#capture mss-capture type asp-drop tcp-mss-exceeded packet-length 1518
    

  3. Limpe os contadores de Accelerated Security Path (ASP) no PIX Security Appliance.

    Limpe as estatísticas de descarte de ASP

    pixfirewall(config)#clear asp drop
    

  4. Habilite o syslog de interceptação em nível de depuração enviado para um host na rede.

    Habilite o log de interceptações

    pixfirewall(config)#logging on
    pixfirewall(config)#logging host inside 10.0.0.2
    pixfirewall(config)#logging trap debug
    

  5. Inicie uma sessão de HTTP do cliente HTTP para o servidor HTTP problemático.

    Colete a saída do syslog e a saída destes comandos após a conexão falhar.

    • show capture capture-inside

    • show capture capture-outside

    • show capture mss-capture

    • show asp drop

    Syslogs de uma conexão com falha

    %PIX-6-609001: Built local-host inside:10.0.0.2
    %PIX-6-609001: Built local-host outside:192.168.9.2
    %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to
    outside:192.168.9.30/1024
    %PIX-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80
    (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024)
    %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
    
    
    !--- Em circunstâncias normais, espera-se que
    !--- a conexão TCP seja interrompida imediatamente
    !--- após a recuperação do conteúdo da Web
    !--- do servidor HTTP.  Quando o problema ocorre, os
    !--- pacotes de dados do servidor HTTP são descartados na
    !--- interface externa e a conexão
    !--- permanecera até um dos lados redefini-la
    !--- ou o temporizador de ociosidade do PIX Security Appliance
    !--- expirar.  Assim, a mensagem do syslog
    !--- 302014 (TCP teardown) não é observada automaticamente.
    
    
    
    
    
    !--- No PIX release 7.0.2 ou posterior, o PIX
    !--- Security Appliance executa um syslog ao receber
    !--- um pacote que excede o MSS anunciado. O syslog,
    !--- cujo nível padrão é aviso, possui este formato: 
    
    
    %PIX-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440
    
    
    
    
    !--- No ASA release 7.0.2 ou posterior, o ASA
    !--- Security Appliance executa um syslog ao receber
    !--- um pacote que excede o MSS anunciado. O syslog,
    !--- cujo nível padrão é aviso, possui este formato: 
    
    
    %ASA-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440

    Nota: Consulte Mensagem de Log do Sistema 419001 para obter mais informações sobre esta mensagem de erro.

    Saída dos comandos show de uma conexão com falha

    pixfirewall#show capture capture-inside
    6 packets captured
       1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80:
          S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp
          110211948 0,nop,wscale 0>
    
    
    !--- O MSS anunciado do cliente é 460 no pacote #1.
    
    
       2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565:
          S 1460644203:1460644203(0) ack 3965932252 win 8192 <mss 1380>
       3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: . ack 1460644204 win 1840
       4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80:
          P 3965932252:3965932351(99) ack 1460644204 win 1840
       5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 8192
       6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 65340
    6 packets shown
    pixfirewall#
    pixfirewall#
    pixfirewall#show capture capture-outside
    16 packets captured
       1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80:
          S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp
          110211948 0,nop,wscale 0>
    
    
    !--- O MSS anunciado do cliente é 460 no pacote #1.
    
    
       2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024:
          S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460>
       3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: . ack 314834195 win 1840
       4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80:
          P 473738108:473738207(99) ack 314834195 win 1840
       5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 8192
       6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 65340
    
    
    !--- Nos pacotes de 7 a 14, o tamanho do pacote excede 460.
    !--- Os pacotes de 7 a 14 não são observados no rastreamento capture-inside.
    !--- Isso significa que eles foram descartados pelo PIX Security Appliance.
    !--- Os pacotes de 7 a 14 também são representados na saída do
    !--- comando show capture mss-capture.
    
    
       7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024:
          . 314834195:314835647(1452) ack 473738207 win 65340
       8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024:
          P 314835647:314837099(1452) ack 473738207 win 65340
       9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024:
          . 314837099:314838551(1452) ack 473738207 win 65340
      10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024:
          P 314838551:314840003(1452) ack 473738207 win 65340
      11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024:
          P 314840003:314841035(1032) ack 473738207 win 65340
      12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024:
          P 314834195:314835647(1452) ack 473738207 win 65340
      13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024:
          P 314834195:314835647(1452) ack 473738207 win 65340
      14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024:
          P 314834195:314835647(1452) ack 473738207 win 65340
      15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024:
          F 314841035:314841035(0) ack 473738207 win 65340
      16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80:
          P ack 314834195 win 1840
    16 packets shown
    pixfirewall#
    pixfirewall#
    pixfirewall(config)#show capture mss-capture
    8 packets captured
       1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024:
          . 314834195:314835647(1452) ack 473738207 win 65340
       2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024:
          P 314835647:314837099(1452) ack 473738207 win 65340
       3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024:
          . 314837099:314838551(1452) ack 473738207 win 65340
       4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024:
          P 314838551:314840003(1452) ack 473738207 win 65340
       5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024:
          P 314840003:314841035(1032) ack 473738207 win 65340
       6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024:
          P 314834195:314835647(1452) ack 473738207 win 65340
       7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024:
          P 314834195:314835647(1452) ack 473738207 win 65340
       8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024:
          P 314834195:314835647(1452) ack 473738207 win 65340
    8 packets shown
    pixfirewall#
    pixfirewall#
    pixfirewall#show asp drop
    
    Frame drop:
      TCP MSS was too large 8
    
    Flow drop:
    pixfirewall#
    
    
    !--- O comando show asp drop relata que
    !--- oito pacotes foram descartados por que o
    !--- MSS do TCP é muito grande. Isso corrobora as informações derivadas das
    !--- capturas de pacotes.
    
    

Solução Alternativa

Agora que você sabe que o PIX/ASA Security Appliance descarta os pacotes que excedem o valor de MSS anunciado pelo cliente, é possível implementar uma solução alternativa. Tenha em mente que talvez não seja indicado permitir que esses pacotes cheguem até o cliente devido ao potencial de estouro de buffer no cliente. Se você optar por permitir que esses pacotes atravessem o PIX/ASA Security Appliance, prossiga com esta solução alternativa. Um novo recurso no release 7.0 chamado Modular Policy Framework (MPF) é usado para permitir a passagem desses pacotes pelo PIX Security Appliance. Esse documento não foi criado para descrever o MPF em detalhes, mas sim para sugerir as entidades de configuração usadas para contornar o problema. Consulte o Guia de Configuração do PIX 7.0 e o Manual de Referência de Comandos do PIX 7.0 para obter mais informações sobre o MPF e qualquer um dos comandos relacionados nesta seção.

Uma visão geral da solução alternativa inclui a identificação do cliente e dos servidores HTTP por meio de uma lista de acesso. Quando a lista de acesso é definida, um mapa de classes é criado e a lista de acesso é atribuída a ele. Em seguida, um mapa de TCP é configurado e a opção para permitir os pacotes que excedem o MSS é habilitada. Após os mapas de TCP e de classes serem definidos, você poderá adicioná-los a um mapa de políticas novo ou existente. O mapa de políticas é então atribuído a uma política de segurança. Use o comando service-policy no modo de configuração para ativar um mapa de políticas globalmente em uma interface externa. Esses parâmetros de configuração são adicionados à Lista de Configuração do PIX 7.0. Após você criar um mapa de políticas chamado http-map1, essa configuração de exemplo adicionará o mapa de classes a esse mapa de políticas.

Configuração do MPF para permitir pacotes que excedem o MSS

pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)#
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match access-list http-list2
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 interface outside
pixfirewall#

Quando esses parâmetros de configuração entrarem em vigor, os pacotes de 192.168.9.2 que excederem o MSS anunciado pelo cliente poderão passar pelo PIX Security Appliance. É importante observar que a lista de acesso usada no mapa de classes é criada para identificar o tráfego de saída para 192.168.9.2. O tráfego de saída é examinado para permitir que o mecanismo de inspeção extraia o MSS do pacote SYN de saída. Assim, é imperativo configurar a lista de acesso com a direção do SYN em mente. Se uma regra mais difusa for necessária, você poderá substituir a instrução de lista de acesso nesta seção por uma lista de acesso que permita tudo, como access-list http-list2 permit ip any any ou access-list http-list2 permit tcp any any. Lembre-se também que o túnel VPN poderá se tornar lento se um valor elevado de MSS de TCP for usado. Você pode reduzir o MSS do TCP para aumentar o desempenho.

Verificação

Esta seção fornece informações que você pode usar para confirmar se a configuração está funcionando corretamente.

Repita os passos da seção Troubleshooting para verificar se as alterações na configuração funcionam conforme o planejado.

Syslogs de uma conexão bem-sucedida

%PIX-6-609001: Built local-host inside:10.0.0.2
%PIX-6-609001: Built local-host outside:192.168.9.2
%PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798
               to outside:192.168.9.30/1025
%PIX-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80
               (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025)
%PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/

%PIX-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to
               inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs


!--- A conexão é criada e desativada imediatamente
!--- quando o conteúdo da Web é recuperado.

Saída dos comandos show de uma conexão bem-sucedida

pixfirewall#
pixfirewall#show capture capture-inside
21 packets captured
   1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S 751781751:751781751(0)
   win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>


!--- O MSS anunciado do cliente é 460 no pacote #1.
!--- No entanto, com a solução alternativa em vigor, os pacotes 7, 9, 11, 13
!--- e 15 são mostrados no rastreamento interno, independentemente do MSS > 460.


   2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380>
   3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305880752 win 1840
   4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P 751781752:751781851(99) ack 1305880752 win 1840
   5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 8192
   6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 25840
   7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: . 1305880752:1305882112(1360) ack 751781851 win 25840
   8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305882112 win 4080
   9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P 1305882112:1305883472(1360) ack 751781851 win 25840
  10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305883472 win 6800
  11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: . 1305883472:1305884832(1360) ack 751781851 win 25840
  12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305884832 win 9520
  13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P 1305884832:1305886192(1360) ack 751781851 win 25840
  14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305886192 win 12240
  15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: . 1305886192:1305887552(1360) ack 751781851 win 25840
  16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P 1305887552:1305887593(41) ack 751781851 win 25840
  17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887552 win 14960
  18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887593 win 14960
  19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F 751781851:751781851(0) ack 1305887593 win 14960
  20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F 1305887593:1305887593(0) ack 751781852 win 8192
  21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887594 win 14960
21 packets shown
pixfirewall#
pixfirewall#
pixfirewall#show capture capture-outside
21 packets captured
   1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80:
      S 1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
   2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024:
      S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460>
   3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: . ack 466908059 win 1840
   4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P 1465558596:1465558695(99) ack 466908059 win 1840
   5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 8192
   6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 25840
   7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: . 466908059:466909419(1360) ack 1465558695 win 25840
   8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: . ack 466909419 win 4080
   9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P 466909419:466910779(1360) ack 1465558695 win 25840
  10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: . ack 466910779 win 6800
  11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: . 466910779:466912139(1360) ack 1465558695 win 25840
  12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: . ack 466912139 win 9520
  13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P 466912139:466913499(1360) ack 1465558695 win 25840
  14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P 466914859:466914900(41) ack 1465558695 win 25840
  15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: . ack 466913499 win 12240
  16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: . 466913499:466914859(1360) ack 1465558695 win 25840
  17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914859 win 14960
  18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914900 win 14960
  19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F 1465558695:1465558695(0) ack 466914900 win 14960
  20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F 466914900:466914900(0) ack 1465558696 win 8192
  21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914901 win 14960
21 packets shown
pixfirewall#
pixfirewall(config)#show capture mss-capture
0 packets captured
0 packets shown
pixfirewall#
pixfirewall#show asp drop

Frame drop:

Flow drop:
pixfirewall#


!--- Os comandos show capture mss-capture
!--- e show asp drop revelam que nenhum pacote é descartado.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 65436