Segurança : Cisco Email Security Appliance

Diminua o MTU em Cisco ESA

12 Agosto 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (23 Abril 2015) | Feedback

Introdução

Este documento descreve como diminuir o MTU em Cisco ESA, porque não pode se comunicar com determinados domínios.

Contribuído por Valter Pereira a Dinamarca Costa, engenheiro de TAC da Cisco.

Prerequiste

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Cisco envia por correio eletrónico as ferramentas de segurança (o ESA)
  • Todas as versões de AsyncOS

Background

O trajeto da descoberta da unidade de transmissão máxima (MTU) confia no Internet Control Message Protocol (ICMP) para determinar o tamanho do MTU ótimo. Se o Firewall está obstruindo o trajeto ICMP descubra pacotes, a seguir o ICMP não pode fragmentar erros não pode receber de volta ao host de origem. Isto significa que o host não saberá que os pacotes que está enviando são demasiado grandes. Manter-se-á tentar enviar o mesmo grande pacote, e manter-se-á deixar cair silenciosamente da ideia de todo o sistema no outro lado do filtro.

Configurar

O ICMP é uma parte integral do Internet e não pode ser filtrado sem devida consideração para os efeitos. Muitos filtros de pacote permitirão que você estabeleça filtros para permitir somente completamente determinados tipos de mensagens ICMP. Se você os reconfigura para deixar o ICMP não pode fragmentar (tipo 3, código 4) mensagens completamente, o problema deve ser resolvido.

Para testar se o MTU é a causa dos problemas, você pode mudar o MTU através do comando CLI.

CLI: etherconfig -> MTU

O tamanho de MTU default na relação ESA é 1500; contudo, você pode ajustar aquele a um valor mais baixo e a uma verificação se esta resolve a edição. Isto deve ser considerado como uma solução temporária somente; a solução melhor é ativar/desbloqueia a descoberta de caminho no Firewall.

Esta é realmente uma edição que deva ser fixada permitindo a descoberta de caminho com o ICMP no Firewall. Mudar o MTU no ESA significa que já não enviará os pacotes grandes bastante para causar problemas; contudo, a causa de raiz ainda existirá.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 117962