Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

Problème de PIX/ASA 7.X : MSS dépassée - Les clients HTTP ne peuvent pas accéder à certains sites Web

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document aborde le problème quand quelques sites Web ne sont pas accessibles par un PIX ou une appliance de sécurité adaptable (ASA) cette exécute 7.0 ou code postérieur. La version 7.0 introduit plusieurs nouvelles améliorations de la sécurité, dont l’une consiste en une vérification des points de terminaison TCP qui adhèrent à la taille maximum de segment annoncée (MSS). Dans une session TCP normale, le client envoie un paquet SYN au serveur, avec la valeur MSS incluse dans les options TCP du paquet SYN. Le serveur, dès réception du paquet SYN, devrait identifier la valeur MSS envoyée par le client, puis envoyer sa propre valeur MSS dans le paquet SYN-ACK. Une fois que le client et le serveur sont tous deux informés de la valeur MSS de chacun, ni l’un ni l’autre pair ne devrait envoyer à l’autre un paquet plus grand que le MSS de ce pair. Il a été observé que certains serveurs HTTP sur Internet ne respectent pas la valeur MSS publiée par le client. Le serveur HTTP envoie donc au client des paquets de données qui sont plus grands que la valeur MSS publiée. Avant la version 7.0, ces paquets étaient autorisés par l’appliance de sécurité PIX. Avec les améliorations de la sécurité incluses dans la version logicielle 7.0, ces paquets sont lâchés par défaut. Ce document est conçu pour aider l’administrateur de l’appliance de sécurité PIX/ASA dans le diagnostic de ce problème et l’implémentation d’un contournement pour autoriser les paquets qui dépassent le MSS.

Référez-vous à la question ASA 8.3 : MSS dépassés - Les clients de HTTP ne peuvent pas parcourir à quelques sites Web pour plus d'informations sur la configuration identique utilisant Adaptive Security Device Manager (ASDM) avec Cisco ASA avec la version 8.3 et ultérieures.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur un Dispositif de sécurité Cisco PIX 525 qui exécute le logiciel 7.0.1.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Vous pouvez également utiliser ce document avec des ces matériel et versions de logiciel :

  • Toutes autres Plateformes de dispositifs de sécurité de Cisco PIX qui peuvent exécuter la release 7.0. Ces Plateformes incluent les 515, 515E, et 535.

  • Toutes les Plateformes de Cisco ASA. Ces Plateformes incluent les 5510, les 5520, et les 5540.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous présente les informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Utilisez le Command Lookup Tool (clients enregistrés seulement) pour trouver les informations complémentaires sur les commandes des utilisations de ce document.

Diagramme du réseau

Ce document utilise la configuration réseau suivante :

/image/gif/paws/65436/pix-asa-70-browse-1.gif

Configuration des dispositifs de sécurité 7.0 PIX

Ces commandes de configuration sont ajoutées à une configuration par défaut PIX 7.0 de permettre au client de HTTP pour communiquer avec le serveur HTTP.

Configuration PIX 7.0.1
pixfirewall(config)#interface Ethernet0
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif outside
pixfirewall(config-if)#security-level 0
pixfirewall(config-if)#ip address 192.168.9.30 255.255.255.0
pixfirewall(config-if)#exit 
pixfirewall(config)#interface Ethernet1
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif inside
pixfirewall(config-if)#security-level 100
pixfirewall(config-if)#ip address 10.0.0.1 255.255.255.0 
pixfirewall(config-if)#exit 
pixfirewall(config)#global (outside) 1 interface
pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0
pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1

Dépannez

Si un site Web particulier n'est pas accessible par les dispositifs de sécurité PIX/ASA, terminez-vous ces étapes pour dépanner. Vous le premier besoin de capturer les paquets de la connexion HTTP. Afin de collecter les paquets, les adresses IP appropriées du serveur HTTP et le client doivent être connus, aussi bien que l'adresse IP que le client est traduit à quand elle traverse les dispositifs de sécurité PIX. Dans le réseau d'exemple, le serveur HTTP est adressé chez 192.168.9.2, le client de HTTP est adressé chez 10.0.0.2, et les adresses du client de HTTP est traduites à 192.168.9.30 pendant que les paquets partent de l'interface extérieure. Vous pouvez employer la caractéristique de capture des dispositifs de sécurité PIX/ASA pour collecter les paquets, ou vous pouvez utiliser une capture externe de paquet. Si vous avez l'intention d'utiliser la caractéristique de capture, l'administrateur peut également utiliser une nouvelle caractéristique de capture incluse dans la release 7.0 qui permet à l'administrateur pour capturer les paquets qui sont dus lâché à une anomalie de TCP.

Remarque: Certaines des commandes dans ces tables sont enveloppées à une deuxième ligne due aux raisons spatiales.

  1. Définissez une paire de Listes d'accès qui identifient les paquets en tant qu'elles d'entrée et de sortie l'extérieur et les interfaces internes.

    Configuration de liste d'accès pour la capture de paquet
    pixfirewall(config)#access-list capture-list-in line 1 permitip host 10.0.0.2 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-in line 2 permit ip host 192.168.9.2 host 10.0.0.2 
    
    pixfirewall(config)#access-list capture-list-out line 1 permit ip host 192.168.9.30 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-out line 2 permit ip host 192.168.9.2 host 192.168.9.30
    

  2. Activez la caractéristique de capture pour chacun des deux l'interface interne et externe. Activez également la capture pour les paquets MSS-dépassés parparticularité.

    Configuration de capture pour la capture de paquet
    pixfirewall(config)#capture capture-outside access-list capture-list-out packet-length 1518 interface outside
    
    pixfirewall(config)#capture capture-inside access-list capture-list-in packet-length 1518 interface inside
    
    pixfirewall(config)#capture mss-capture type asp-drop tcp-mss-exceeded packet-length 1518
    

  3. Effacez les compteurs accélérés de chemin de Sécurité (ASP) sur les dispositifs de sécurité PIX.

    Effacez les statistiques de baisse d'ASP
    pixfirewall(config)#clear asp drop
    

  4. Activez le déroutement syslogging au niveau de débogage envoyé à un hôte sur le réseau.

    Se connecter de déroutement d'enable
    pixfirewall(config)#logging on
    pixfirewall(config)#logging host inside 10.0.0.2
    pixfirewall(config)#logging trap debug
    

  5. Initiez une session de HTTP du client de HTTP au serveur HTTP problématique.

    Collectez la sortie de Syslog et la sortie de ces commandes après que la connexion échoue.

    • show capture capture-à l'intérieur de

    • capture-extérieur de show capture

    • mss-capture de show capture

    • affichez la baisse d'asp

    Syslog d'une connexion défectueuse
    %PIX-6-609001: Built local-host inside:10.0.0.2
    %PIX-6-609001: Built local-host outside:192.168.9.2
    %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to 
    outside:192.168.9.30/1024
    %PIX-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80 
    (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024)
    %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
     
    
    !--- Under normal circumstances, you expect 
    !--- to see the TCP connection torn down immediately 
    !--- after the retrieval of the web content from 
    !--- the HTTP server.  When the problem occurs, the 
    !--- data packets from the HTTP server are dropped on 
    !--- the outside interface and the connection  
    !--- remains until either side resets the connection 
    !--  or the PIX Security Appliance connection idle 
    !--- timer expires.  Therefore, you do not immediately
    !--- see the 302014 syslog message (TCP teardown).
    
     
    
     
    
    !--- In PIX release 7.0.2 and later, the PIX 
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format: 
    
    
    %PIX-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440
    
    
    
    
    !--- In ASA release 7.0.2 and later, the ASA
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format:
    
    
    %ASA-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440

    Remarque: Référez-vous au message du journal système 419001 pour plus d'informations sur ce message d'erreur.

    Sortie des commandes show d'une connexion défectueuse
    pixfirewall#show capture capture-inside
    6 packets captured
       1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80: 
          S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565: 
          S 1460644203:1460644203(0) ack 3965932252 win 8192 <mss 1380>
       3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: . ack 1460644204 win 1840
       4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80: 
          P 3965932252:3965932351(99) ack 1460644204 win 1840
       5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 8192
       6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 65340
    6 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show capture capture-outside
    16 packets captured
       1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80: 
          S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024: 
          S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460>
       3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: . ack 314834195 win 1840
       4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80: 
          P 473738108:473738207(99) ack 314834195 win 1840
       5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 8192
       6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 65340
     
    
    !--- In packets 7 through 14, the length of the packet exceeds 460.
    !--- Packets 7 through 14 are not observed on the capture-inside trace.
    !--- This means that they were dropped by the PIX Security Appliance.
    !--- Packets 7 through 14 are also represented in the output of the 
    !--- show capture mss-capture command.
    
     
       7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
      10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
      11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
      12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024: 
          F 314841035:314841035(0) ack 473738207 win 65340
      16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80: 
          P ack 314834195 win 1840
    16 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall(config)#show capture mss-capture
    8 packets captured
       1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
       4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
       5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
       6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
    8 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show asp drop
     
    Frame drop:
      TCP MSS was too large 8
     
    Flow drop:
    pixfirewall#
     
    
    !--- The show asp drop command reports 
    !--- that eight packets were dropped because the
    !--- TCP MSS is to large. This corroborates the information derived from
    !--- the packet captures.
    
    

Contournement

Implémentez un contournement maintenant que vous savez que les dispositifs de sécurité PIX/ASA relâchent les paquets qui dépassent la valeur MSS annoncée par le client. Maintenez dans l'esprit que vous ne pourriez pas vouloir permettre à ces paquets pour atteindre le client en raison d'une mémoire tampon potentielle débordée sur le client. Si vous choisissez de permettre ces paquets par les dispositifs de sécurité PIX/ASA, procédez à cette procédure de contournement. Une nouvelle caractéristique dans la release 7.0 appelée le cadre de stratégie modulaire (MPF) est utilisée pour permettre ces paquets par les dispositifs de sécurité PIX. Ce document n'est pas conçu pour détailler entièrement le MPF, mais suggère plutôt les entités de configuration utilisées pour fonctionner autour du problème. Référez-vous au guide de configuration PIX 7.0 et au manuel de référence des commandes PIX 7.0 pour plus d'informations sur MPF et commandes l'unes des répertoriés dans cette section.

Un aperçu au contournement inclut l'identification du client et serveur de HTTP par l'intermédiaire d'une liste d'accès. Une fois que la liste d'accès est définie, un class-map est créé et la liste d'accès est assignée au class-map. Alors une TCP-MAP est configurée et l'option de permettre les paquets qui dépassent le MSS est activée. Une fois que la TCP-MAP et le class-map sont définis, vous pouvez les ajouter à un nouveau ou existant policy-map. Un policy-map est alors assigné à une stratégie de sécurité. Utilisez la commande de service-stratégie dans le mode de configuration de lancer une carte de stratégie sur une interface/globalement. Ces paramètres de configuration sont ajoutés à la liste de configuration PIX 7.0. Après que vous créiez une carte de stratégie nommée http-map1, cette configuration d'échantillon ajoute le class-map à ce policy-map.

Interface spécifique : Configuration MPF pour permettre les paquets qui dépassent MSS
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match access-list http-list2    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 interface outside
pixfirewall#

Une fois que ces paramètres de configuration sont en place, on permet des paquets de 192.168.9.2 qui dépassent le MSS annoncé par le client par les dispositifs de sécurité PIX. Il est important de noter que la liste d'accès utilisée dans le class-map est conçue pour identifier le trafic sortant à 192.168.9.2. Le trafic sortant est examiné pour permettre à l'engine d'inspection pour extraire le MSS du paquet sortant de synchronisation. Par conséquent, il est impératif de configurer la liste d'accès avec la direction de la synchronisation à l'esprit. Si une règle plus dominante est exigée, vous pouvez remplacer l'instruction de liste d'accès dans cette section par une liste d'accès qui laisse tout, tel que l'IP d'autorisation de la liste d'accès http-list2 tout ou le TCP d'autorisation de la liste d'accès http-list2 tout. Souvenez-vous également que le tunnel VPN peut être lent si une grande valeur de TCP MSS est utilisée. Vous pouvez réduire le TCP MSS pour améliorer les performances.

Cet exemple aide à configurer globalement d'arrivée/trafic sortant dans ASA/PIX :

Configuration globale : Configuration MPF pour permettre les paquets qui dépassent MSS
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match any    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 global
pixfirewall#

Vérifiez

Cette section fournit des informations qui vous permettront de vérifier que votre configuration fonctionne correctement.

Répétez les étapes dans la section de dépannage pour vérifier que les modifications de configuration font ce qu'elles sont conçues pour faire.

Syslog d'une connexion réussie
%PIX-6-609001: Built local-host inside:10.0.0.2
%PIX-6-609001: Built local-host outside:192.168.9.2
%PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798 
               to outside:192.168.9.30/1025
%PIX-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80 
               (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025)
%PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/

%PIX-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to 
               inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs
 

!--- The connection is built and immediately torn down
!--- when the web content is retrieved.

Sortie des commandes show d'une connexion réussie
pixfirewall# 
pixfirewall#show capture capture-inside
21 packets captured
   1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S 751781751:751781751(0) 
   win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
 

!--- The advertised MSS of the client is 460 in packet #1.
!--- However, with the workaround in place, packets 7, 9, 11, 13,
!--- and 15 appear on the inside trace, despite the MSS>460.

 
   2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380>
   3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305880752 win 1840
   4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P 751781752:751781851(99) ack 1305880752 win 1840
   5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 8192
   6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 25840
   7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: . 1305880752:1305882112(1360) ack 751781851 win 25840
   8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305882112 win 4080
   9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P 1305882112:1305883472(1360) ack 751781851 win 25840
  10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305883472 win 6800
  11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: . 1305883472:1305884832(1360) ack 751781851 win 25840
  12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305884832 win 9520
  13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P 1305884832:1305886192(1360) ack 751781851 win 25840
  14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305886192 win 12240
  15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: . 1305886192:1305887552(1360) ack 751781851 win 25840
  16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P 1305887552:1305887593(41) ack 751781851 win 25840
  17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887552 win 14960
  18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887593 win 14960
  19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F 751781851:751781851(0) ack 1305887593 win 14960
  20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F 1305887593:1305887593(0) ack 751781852 win 8192
  21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887594 win 14960
21 packets shown
pixfirewall# 
pixfirewall# 
pixfirewall#show capture capture-outside
21 packets captured
   1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80: 
      S 1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
   2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024: 
      S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460>
   3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: . ack 466908059 win 1840
   4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P 1465558596:1465558695(99) ack 466908059 win 1840
   5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 8192
   6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 25840
   7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: . 466908059:466909419(1360) ack 1465558695 win 25840
   8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: . ack 466909419 win 4080
   9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P 466909419:466910779(1360) ack 1465558695 win 25840
  10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: . ack 466910779 win 6800
  11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: . 466910779:466912139(1360) ack 1465558695 win 25840
  12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: . ack 466912139 win 9520
  13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P 466912139:466913499(1360) ack 1465558695 win 25840
  14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P 466914859:466914900(41) ack 1465558695 win 25840
  15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: . ack 466913499 win 12240
  16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: . 466913499:466914859(1360) ack 1465558695 win 25840
  17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914859 win 14960
  18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914900 win 14960
  19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F 1465558695:1465558695(0) ack 466914900 win 14960
  20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F 466914900:466914900(0) ack 1465558696 win 8192
  21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914901 win 14960
21 packets shown
pixfirewall#
pixfirewall(config)#show capture mss-capture
0 packets captured
0 packets shown
pixfirewall#
pixfirewall#show asp drop
 
Frame drop:
 
Flow drop:
pixfirewall#
 

!--- Both the show capture mss-capture 
!--- and the show asp drop reveal that no packets are dropped.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 65436