安全 : Cisco PIX 500 系列安全设备

PIX/ASA 7.X 问题:超出 MSS - HTTP 客户端无法浏览某些网站

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


目录


简介

本文讨论问题,当一些网站通过PIX时不是可取得或该可适应的安全工具(ASA)运行7.0或以上代码。7.0 版本引入几种新的安全增强功能,其中一个是检查是否存在符合所通告的最大数据段大小 (MSS) 要求的 TCP 端点。在正常的 TCP 会话中,客户端会将 SYN 数据包发送到服务器(MSS 包含在 SYN 数据包的 TCP 选项内)。收到 SYN 数据包时,服务器应识别客户端发送的 MSS 值,然后在 SYN-ACK 数据包中发送它自己的 MSS 值。客户端和服务器获悉彼此的 MSS 之后,两个对等体都不应该向对方发送大于对等体的 MSS 的数据包。已发现 Internet 上有一些 HTTP 服务器不遵从客户端通告的 MSS。随后,该 HTTP 服务器会将大于所通告的 MSS 的数据包发送到客户端。在版本 7.0 前,允许这些数据包通过 PIX 安全设备。使用 7.0 软件版本中包含的安全增强功能,默认情况下这些数据包会被丢弃。本文档旨在协助 PIX/ASA 安全设备管理员诊断此问题并实施解决方法以允许超出 MSS 的数据包。

参考的ASA 8.3问题:超出的MSS - HTTP客户端不能浏览到一些网站关于相同配置的更多信息使用可适应安全设备管理器(ASDM)有与版本8.3和以上的Cisco ASA的。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于运行 7.0.1 软件的 Cisco PIX 525 安全设备。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

此文档还可用于以下硬件和软件版本:

  • 可以运行 7.0 版本的所有其他 Cisco PIX 安全设备平台。这些平台包括 515、515E 和 535。

  • 所有 Cisco ASA 平台。这些平台包括 5510、5520 和 5540。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供了用于配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可查找有关本文档所用命令的其他信息。

网络图

本文档使用以下网络设置:

/image/gif/paws/65436/pix-asa-70-browse-1.gif

PIX 安全设备 7.0 配置

这些配置命令已添加到 PIX 7.0 默认配置以允许 HTTP 客户端与 HTTP 服务器进行通信。

PIX 7.0.1 配置
pixfirewall(config)#interface Ethernet0
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif outside
pixfirewall(config-if)#security-level 0
pixfirewall(config-if)#ip address 192.168.9.30 255.255.255.0
pixfirewall(config-if)#exit 
pixfirewall(config)#interface Ethernet1
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif inside
pixfirewall(config-if)#security-level 100
pixfirewall(config-if)#ip address 10.0.0.1 255.255.255.0 
pixfirewall(config-if)#exit 
pixfirewall(config)#global (outside) 1 interface
pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0
pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1

故障排除

如果一个特定的网站无法通过 PIX/ASA 安全设备进行访问,请完成以下步骤来排除故障。您首先需要从 HTTP 连接获取数据包。要收集数据包,需要知道 HTTP 服务器和客户端的相关 IP 地址,以及在数据包通过 PIX 安全设备时客户端被转换到的 IP 地址。在示例网络中,HTTP 服务器地址被指定为 192.168.9.2,HTTP 客户端地址被指定为 10.0.0.2,并且在数据包离开外部接口时,HTTP 客户端地址会转换为 192.168.9.30。您可以使用 PIX/ASA 安全设备的捕获功能收集数据包,或者可以使用外部数据包捕获功能。如果打算使用捕获功能,管理员还可以使用 7.0 版本中包含的新捕获功能,该功能允许管理员捕获因 TCP 异常而丢弃的数据包。

注意: 由于空间原因,这些表中的一些命令分两行显示。

  1. 定义一对访问控制列表,用于在数据包出入外部接口和内部接口时识别这些数据包。

    配置访问控制列表以用于数据包捕获
    pixfirewall(config)#access-list capture-list-in line 1 permitip host 10.0.0.2 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-in line 2 permit ip host 192.168.9.2 host 10.0.0.2 
    
    pixfirewall(config)#access-list capture-list-out line 1 permit ip host 192.168.9.30 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-out line 2 permit ip host 192.168.9.2 host 192.168.9.30
    

  2. 对内部接口和外部接口均启用捕获功能。并且对 TCP 特定的超过 MSS 的数据包启用捕获。

    配置捕获以用于捕获数据包
    pixfirewall(config)#capture capture-outside access-list capture-list-out packet-length 1518 interface outside
    
    pixfirewall(config)#capture capture-inside access-list capture-list-in packet-length 1518 interface inside
    
    pixfirewall(config)#capture mss-capture type asp-drop tcp-mss-exceeded packet-length 1518
    

  3. 清除在PIX安全工具的加速的安全路径(ASP)计数器。

    清除 ASP 丢弃统计信息
    pixfirewall(config)#clear asp drop
    

  4. 允许将调试级别的陷井系统日志记录消息发送到网络中的主机。

    启用陷井日志记录
    pixfirewall(config)#logging on
    pixfirewall(config)#logging host inside 10.0.0.2
    pixfirewall(config)#logging trap debug
    

  5. 启动从 HTTP 客户端到有问题的 HTTP 服务器的 HTTP 会话。

    在连接失败后,收集 syslog 输出和以下命令的输出。

    • show capture capture-inside

    • show capture capture-outside

    • show capture mss-capture

    • show asp drop

    来自失败连接的 Syslog 消息
    %PIX-6-609001: Built local-host inside:10.0.0.2
    %PIX-6-609001: Built local-host outside:192.168.9.2
    %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to 
    outside:192.168.9.30/1024
    %PIX-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80 
    (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024)
    %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
     
    
    !--- Under normal circumstances, you expect 
    !--- to see the TCP connection torn down immediately 
    !--- after the retrieval of the web content from 
    !--- the HTTP server.  When the problem occurs, the 
    !--- data packets from the HTTP server are dropped on 
    !--- the outside interface and the connection  
    !--- remains until either side resets the connection 
    !--  or the PIX Security Appliance connection idle 
    !--- timer expires.  Therefore, you do not immediately
    !--- see the 302014 syslog message (TCP teardown).
    
     
    
     
    
    !--- In PIX release 7.0.2 and later, the PIX 
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format: 
    
    
    %PIX-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440
    
    
    
    
    !--- In ASA release 7.0.2 and later, the ASA
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format:
    
    
    %ASA-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440

    注意: 有关此错误消息的详细信息,请参阅系统日志消息 419001

    来自失败连接的 show 命令输出
    pixfirewall#show capture capture-inside
    6 packets captured
       1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80: 
          S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565: 
          S 1460644203:1460644203(0) ack 3965932252 win 8192 <mss 1380>
       3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: . ack 1460644204 win 1840
       4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80: 
          P 3965932252:3965932351(99) ack 1460644204 win 1840
       5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 8192
       6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 65340
    6 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show capture capture-outside
    16 packets captured
       1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80: 
          S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024: 
          S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460>
       3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: . ack 314834195 win 1840
       4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80: 
          P 473738108:473738207(99) ack 314834195 win 1840
       5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 8192
       6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 65340
     
    
    !--- In packets 7 through 14, the length of the packet exceeds 460.
    !--- Packets 7 through 14 are not observed on the capture-inside trace.
    !--- This means that they were dropped by the PIX Security Appliance.
    !--- Packets 7 through 14 are also represented in the output of the 
    !--- show capture mss-capture command.
    
     
       7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
      10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
      11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
      12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024: 
          F 314841035:314841035(0) ack 473738207 win 65340
      16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80: 
          P ack 314834195 win 1840
    16 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall(config)#show capture mss-capture
    8 packets captured
       1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
       4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
       5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
       6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
    8 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show asp drop
     
    Frame drop:
      TCP MSS was too large 8
     
    Flow drop:
    pixfirewall#
     
    
    !--- The show asp drop command reports 
    !--- that eight packets were dropped because the
    !--- TCP MSS is to large. This corroborates the information derived from
    !--- the packet captures.
    
    

解决方法

现在已得知 PIX/ASA 安全设备丢弃超出客户端通告的 MSS 值的数据包,应实施解决方法来解决该问题。请记住,由于客户端上可能发生缓冲区溢出,因此您可能不希望允许这些数据包到达客户端。如果选择允许这些数据包通过 PIX/ASA 安全设备,请继续进行此解决过程。在呼叫模块化政策架构的7.0版本的一新特性(MPF)用于允许这些数据包到PIX安全工具。本文档并非用于充分详细地说明 MPF,而是建议用于解决该问题的配置实体。有关本部分中列出的有关 MPF 和任何命令的详细信息,请参阅 PIX 7.0 配置指南PIX 7.0 命令参考手册

解决方法概述包括通过访问列表识别 HTTP 客户端和服务器。定义访问控制列表之后,会创建类映射,并会将访问控制列表分配给类映射。然后会配置 tcp 映射,并且将启用允许超出 MSS 的数据包的选项。定义 tcp 映射和类映射之后,可以将它们添加到新的或现有的策略映射。然后,会将策略映射分配给安全策略。请在配置模式下使用 service-policy 命令对某个接口/全局激活策略映射。这些配置参数已添加到 PIX 7.0 配置列表。在创建名为 http-map1 的策略映射之后,此示例配置会将类映射添加到此策略映射。

特定接口:允许超出 MSS 的数据包的 MPF 配置
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match access-list http-list2    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 interface outside
pixfirewall#

这些配置参数已设置好之后,会允许超出客户端所通告的 MSS 的数据包(来自 192.168.9.2)通过 PIX 安全设备。必须注意,用于类映射的访问控制列表旨在识别到 192.168.9.2 的出站数据流。出站数据流会受到检查以允许检测引擎从传出 SYN 数据包提取 MSS。因此,配置访问列表时必须谨记 SYN 的方向。如果需要一个更加普遍的规则,可以使用允许任意内容的访问控制列表(例如 access-list http-list2 permit ip any any 或 access-list http-list2 permit tcp any any)替换此部分中的访问控制列表语句。此外,请记住,如果使用的 TCP MSS 值较大,VPN 隧道可能会变得很慢。可以减小 TCP MSS 来改进性能。

此示例帮助全局配置 ASA/PIX 中的入站/出站数据流:

全局配置:允许超出 MSS 的数据包的 MPF 配置
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match any    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 global
pixfirewall#

验证

本部分提供的信息可帮助您确认您的配置是否可正常运行。

重复故障排除部分中的步骤以验证配置更改是否完成了它们旨在实现的目标。

来自成功连接的 Syslog 消息
%PIX-6-609001: Built local-host inside:10.0.0.2
%PIX-6-609001: Built local-host outside:192.168.9.2
%PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798 
               to outside:192.168.9.30/1025
%PIX-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80 
               (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025)
%PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/

%PIX-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to 
               inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs
 

!--- The connection is built and immediately torn down
!--- when the web content is retrieved.

来自成功连接的 show 命令输出
pixfirewall# 
pixfirewall#show capture capture-inside
21 packets captured
   1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S 751781751:751781751(0) 
   win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
 

!--- The advertised MSS of the client is 460 in packet #1.
!--- However, with the workaround in place, packets 7, 9, 11, 13,
!--- and 15 appear on the inside trace, despite the MSS>460.

 
   2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380>
   3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305880752 win 1840
   4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P 751781752:751781851(99) ack 1305880752 win 1840
   5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 8192
   6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 25840
   7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: . 1305880752:1305882112(1360) ack 751781851 win 25840
   8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305882112 win 4080
   9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P 1305882112:1305883472(1360) ack 751781851 win 25840
  10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305883472 win 6800
  11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: . 1305883472:1305884832(1360) ack 751781851 win 25840
  12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305884832 win 9520
  13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P 1305884832:1305886192(1360) ack 751781851 win 25840
  14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305886192 win 12240
  15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: . 1305886192:1305887552(1360) ack 751781851 win 25840
  16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P 1305887552:1305887593(41) ack 751781851 win 25840
  17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887552 win 14960
  18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887593 win 14960
  19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F 751781851:751781851(0) ack 1305887593 win 14960
  20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F 1305887593:1305887593(0) ack 751781852 win 8192
  21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887594 win 14960
21 packets shown
pixfirewall# 
pixfirewall# 
pixfirewall#show capture capture-outside
21 packets captured
   1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80: 
      S 1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
   2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024: 
      S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460>
   3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: . ack 466908059 win 1840
   4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P 1465558596:1465558695(99) ack 466908059 win 1840
   5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 8192
   6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 25840
   7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: . 466908059:466909419(1360) ack 1465558695 win 25840
   8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: . ack 466909419 win 4080
   9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P 466909419:466910779(1360) ack 1465558695 win 25840
  10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: . ack 466910779 win 6800
  11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: . 466910779:466912139(1360) ack 1465558695 win 25840
  12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: . ack 466912139 win 9520
  13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P 466912139:466913499(1360) ack 1465558695 win 25840
  14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P 466914859:466914900(41) ack 1465558695 win 25840
  15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: . ack 466913499 win 12240
  16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: . 466913499:466914859(1360) ack 1465558695 win 25840
  17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914859 win 14960
  18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914900 win 14960
  19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F 1465558695:1465558695(0) ack 466914900 win 14960
  20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F 466914900:466914900(0) ack 1465558696 win 8192
  21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914901 win 14960
21 packets shown
pixfirewall#
pixfirewall(config)#show capture mss-capture
0 packets captured
0 packets shown
pixfirewall#
pixfirewall#show asp drop
 
Frame drop:
 
Flow drop:
pixfirewall#
 

!--- Both the show capture mss-capture 
!--- and the show asp drop reveal that no packets are dropped.

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 65436