安全 : Cisco ASA 5500 系列自适应安全设备

ASA :接收和传送超大以太网帧

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


目录


简介

本文提供信息可适应安全工具(ASA)如何接收并且传输超大以太网帧。

注意: 贡献用杰伊约翰斯顿, Cisco TAC工程师。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

在ASA的Jumbo帧支持

启用Jumbo帧支持要求特定可适应安全工具(ASA)硬件和软件版本,以及重新启动。关于支持的型号和版本的更多信息,以及如何启用巨型帧,参考ASA 8.4配置指南部分,启用Jumbo帧支持(支持的型号)

注意在启用Jumbo帧支持和重新启动ASA以后,应该采取这些另外的行动充分利用巨型帧:

  • 必须用mtu命令增加ASA接口的MTU在接口SUB配置模式,以便ASA将传输巨型帧。

  • 比默认必须配置ASA调节TCP连接的TCP MSS对一更高的值。如果这没有执行,包含TCP数据的以太网帧大于1500个字节不会。比接口MTU的最低的设置应该调节TCP MSS到120个字节较少。如果接口MTU是9216,则应该配置MSS到9096。这可以实行同sysopt连接tcpmss命令。

ASA若没有为巨型帧配置,并且接收超大帧?

超大帧预约命令允许庞然大物不仅发射,而且接收。没有启用的Jumbo帧支持, ASA将丢弃太大的数据包。这些丢包被计算在“巨型”统计信息下在输出的show interface

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

ASA成功若接受超大帧,但是尝试传送它与更小的MTU的接口呢?

为了接收超大帧, ASA必须有超大帧预约命令,但是不一定需要安排MTU增加(因为那只影响接口,不是接收的最大传输大小)。

如果ASA成功接受超大帧,但是该帧然后太大以至于不能传送出口接口,这些情况能根据不要分段(DF)位的设置数据包的IP报头的发生:

  • 如果DF位在IP报头设置, ASA将丢弃数据包并且送回ICMP type3代码4消息到发送方。

  • 如果DF位没有设置, ASA将分段数据包并且传送片段出口接口。

这是使用数据包捕获显示接收在太大以至于不能传送出口接口的内部接口的ASA超大帧的ASA CLI会话(与大小4014个字节) (外部有MTU 1500)。在这种情况下DF位在IP报头没有设置。数据包在出口被分段外部接口:

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

这是显示ASA的示例接收在太大的内部接口的超大帧以至于不能传送出口接口,并且数据包有设置的DF位。数据包丢弃,并且ICMP type3代码4错误消息传送往内部主机:

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 115003