Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA : Trames Ethernet enormes de réception et de transmission

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document fournit des informations comment l'appliance de sécurité adaptable (ASA) reçoit et transmet les trames enormes d'Ethernets.

Remarque: Contribué par geai Johnston, ingénieur TAC Cisco.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Support de trame jumbo sur l'ASA

L'activation du support de trame jumbo exige le matériel et les versions de logiciel spécifiques de l'appliance de sécurité adaptable (ASA), aussi bien qu'une réinitialisation. Pour plus d'informations sur les modèles et les versions pris en charge, aussi bien que comment activer des Trames étendues, référez-vous à la section de guide de configuration ASA 8.4, en activant le support de trame jumbo (modèles pris en charge).

Notez qu'après l'activation du support de trame jumbo et la réinitialisation de l'ASA, ces actions supplémentaires devraient être prises pour utiliser pleinement les Trames étendues :

  • Le MTU des interfaces ASA doit être augmenté avec la commande de mtu en mode de sous-titre-configuration d'interface de sorte que l'ASA transmette des Trames étendues.

  • L'ASA doit être configurée pour ajuster le TCP MSS pour des connexions TCP à une valeur supérieure que le par défaut. Si ceci n'est pas fait, les trames d'Ethernets contenant des données de TCP ne seront pas plus grandes que 1500 octets. Le TCP MSS devrait être ajusté à 120 octets moins que la plus basse configuration pour l'interface MTU. Si l'interface MTU est 9216, alors le MSS devrait être configuré à 9096. Ceci peut être fait avec la commande de tcpmss de connexion de sysopt.

Que si l'ASA n'est pas configurée pour des Trames étendues et reçoit-il une trame jumbo ?

La commande enorme de trame-réservation permet non seulement la transmission des éléphants, mais également la réception. Sans support de trame jumbo activé, l'ASA relâchera les paquets qui sont trop grands. Ces baisses sont comptées sous la statistique « géante » dans la sortie d'interface d'exposition :

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

Que si l'ASA reçoit avec succès une trame jumbo mais la tente de lui envoyer une interface avec un MTU inférieur ?

Afin de recevoir une trame jumbo, l'ASA doit avoir la commande de réservation de trame jumbo, mais n'a pas besoin nécessairement de faire augmenter le MTU (parce que cela affecte seulement la taille maximum de transmission pour l'interface, pas la réception).

Si l'ASA reçoit avec succès une trame jumbo, mais cette trame est alors trop grande pour transmettre l'interface de sortie, ces situations peuvent se produire selon la configuration du Don't Fragment (DF) mordue dans l'en-tête IP du paquet :

  • Si le bit DF est placé dans l'en-tête IP, l'ASA relâchera le paquet et enverra un message du code 4 du type ICMP 3 de nouveau à l'expéditeur.

  • Si le bit DF n'est pas placé, l'ASA fragmentera le paquet et transmettra les fragments l'interface de sortie.

C'est une session ILC ASA qui utilise des captures de paquet pour afficher l'ASA recevant une trame jumbo sur l'interface interne (avec une taille de 4014 octets) qui est trop grande pour transmettre l'interface de sortie (l'extérieur a un MTU de 1500). Dans ce cas le bit DF n'est pas placé dans l'en-tête IP. Le paquet est fragmenté sur le de sortie l'interface extérieure :

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

C'est un exemple affichant une ASA recevant une trame jumbo sur l'interface interne trop grande pour transmettre l'interface de sortie, et le paquet a le bit DF réglé. Le paquet est lâché et le message d'erreur du code 4 du type ICMP 3 est transmis vers l'hôte interne :

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 115003