Sécurité : Appareil de sécurité de courriel Cisco

Diminuez le MTU sur Cisco ESA

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (23 avril 2015) | Commentaires

Introduction

Ce document décrit comment diminuer le MTU sur Cisco ESA, parce qu'il ne peut pas communiquer avec certains domaines.

Contribué par le costa de Valter Pereira DA, ingénieur TAC Cisco.

Prerequiste

Cisco vous recommande de prendre connaissance des rubriques suivantes :

  • Appliances de sécurité du courrier électronique de Cisco (ESA)
  • Toutes les versions d'AsyncOS

Fond

Le chemin de la détection de Maximum Transmission Unit (MTU) se fonde sur le Protocole ICMP (Internet Control Message Protocol) pour déterminer la taille optimale de MTU. Si le Pare-feu bloque les paquets de path discover d'ICMP, alors l'ICMP ne peut pas fragmenter des erreurs ne peut pas revenir à l'hôte de source. Ceci signifie que l'hôte ne saura pas que les paquets qu'il envoie sont trop grands. Il continuera à essayer d'envoyer le même grand paquet, et il continuera à relâcher silencieusement de la vue de n'importe quel système de l'autre côté du filtre.

Configurez

L'ICMP est une partie intégrante de l'Internet et ne peut pas être filtré sans considération due pour les effets. Beaucoup de filtres de paquet te permettront pour installer des filtres pour permettre seulement certains types de messages ICMP. Si vous les modifiez pour permettre l'ICMP ne peut pas fragmenter (le type 3, des messages du code 4), le problème devrait être résolu.

Pour tester si le MTU est la cause des problèmes, vous pouvez changer le MTU par l'intermédiaire de la commande CLI.

CLI: etherconfig -> MTU

La taille de MTU par défaut sur l'interface ESA est 1500 ; cependant, vous pouvez placer cela à une valeur inférieure et à un contrôle si ceci résout le problème. Ceci devrait être considéré comme contournement provisoire seulement ; la solution meilleure est de lancer/débloque la découverte de chemin sur le Pare-feu.

C'est réellement une question qui devrait être réparée en permettant la découverte de chemin avec l'ICMP sur le Pare-feu. Changer le MTU sur l'ESA signifie qu'il n'enverra plus des paquets assez grands pour poser des problèmes ; cependant, la cause principale existera toujours.


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 117962