Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA: Frames da Ethernet enormes de recepção e transmissores

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Este documento contém informações de como o mecanismo de segurança adaptável (ASA) recebe e transmite quadros ethernet muito grandes.

Nota: Contribuído pelo gaio Johnston, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Suporte de Jumbo Frame no ASA

Permitir o suporte de Jumbo Frame exige a versão de hardware e software adaptável específica da ferramenta de segurança (ASA), assim como uma repartição. Para obter mais informações sobre dos modelos apoiados e das versões, assim como como permitir o Jumbo Frames, refira a seção do manual de configuração ASA 8.4, permitindo o suporte de Jumbo Frame (modelos apoiados).

Note que após ter permitido o suporte de Jumbo Frame e ter recarregado o ASA, estas ações adicionais devem ser tomadas para fazer o uso completo do Jumbo Frames:

  • O MTU das relações ASA deve ser aumentado com o comando mtu no modo da secundário-configuração da relação de modo que o ASA transmita o Jumbo Frames.

  • O ASA deve ser configurado para ajustar o TCP MSS para conexões de TCP a um valor mais alto do que o padrão. Se isto não é feito, os frames da Ethernet que contêm dados TCP não serão maiores de 1500 bytes. O TCP MSS deve ser ajustado a 120 bytes menos do que o mais baixo ajuste para a interface MTU. Se a interface MTU é 9216, a seguir o MSS deve ser configurado a 9096. Isto pode ser feito com o comando dos tcpmss da conexão do sysopt.

Que se o ASA não é configurado para o Jumbo Frames e recebe um Jumbo Frame?

O comando enorme da quadro-reserva permite não somente a transmissão dos jumbos, mas igualmente a recepção. Sem suporte de Jumbo Frame permitido, o ASA deixará cair os pacotes que são demasiado grandes. Estas gotas são contadas sob a estatística “gigante” nas saídas de interface da mostra:

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

Que se o ASA recebe com sucesso um Jumbo Frame mas tenta lhe enviar para fora uma relação com um MTU inferior?

A fim receber um Jumbo Frame, o ASA deve ter o comando da reserva do Jumbo Frame, mas não precisa necessariamente de ter o MTU aumentado (porque isso afeta somente o tamanho da transmissão máxima para a relação, não a recepção).

Se o ASA recebe com sucesso um Jumbo Frame, mas esse quadro é então demasiado grande transmitir para fora a interface de saída, estas situações podem ocorrer segundo o ajuste do morderam don't fragment (DF) no cabeçalho IP do pacote:

  • Se o bit DF é ajustado no cabeçalho IP, o ASA deixará cair o pacote e enviará um tipo 3 mensagem ICMP do código 4 de volta ao remetente.

  • Se o bit DF não é ajustado, o ASA fragmentará o pacote e transmitirá os fragmentos para fora a interface de saída.

Esta é uma sessão CLI ASA que utilize capturas de pacote de informação para mostrar o ASA que recebe um Jumbo Frame na interface interna (com um tamanho de 4014 bytes) que é demasiado grande transmitir para fora a interface de saída (a parte externa tem um MTU de 1500). O bit DF não é ajustado neste caso no cabeçalho IP. O pacote é fragmentado na saída para fora a interface externa:

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

Este é um exemplo que mostra um ASA que recebe um Jumbo Frame na interface interna demasiado grande para transmitir para fora a interface de saída, e o pacote tem o jogo do bit DF. O pacote é deixado cair e o tipo 3 Mensagem de Erro ICMP do código 4 é transmitido para o host interno:

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

Informações Relacionadas


Document ID: 115003