安全 : Cisco IronPort Email 安全设备

在思科ESA的降低MTU

2016 年 10 月 27 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

因为不能与某些域,联络本文描述如何减小在思科ESA的MTU。

贡献由Valter佩雷拉da肋前缘, Cisco TAC工程师。

Prerequiste

Cisco 建议您了解以下主题:

  • 思科电子邮件安全工具(ESA)
  • AsyncOS所有版本

背景

最大传输单元(MTU)发现路径依靠互联网控制消息协议(ICMP)确定最佳的MTU大小。如果防火墙阻塞ICMP路径请发现数据包,则ICMP不能分段错误不能有上一步源主机。这意味着发送的主机不会知道数据包太大。它将继续尝试发送同一大数据包,并且将继续静静地丢弃从所有系统视图在过滤器的另一侧的。

配置

没有作用的,由于考虑事项ICMP是互联网的必要组成部分,并且不可能被过滤。许多数据包过滤器将允许您设置过滤器通过只允许ICMP消息特定类型。如果重新配置他们让ICMP不能分段(type3,通过编码4)消息,问题应该解决。

对于测试,如果MTU是问题的原因,您能通过CLI命令更改MTU。

CLI: etherconfig -> MTU

在ESA接口的默认MTU大小是1500;然而,您能设置那为较低值和检查这是否解决问题。应该考虑这作为仅临时应急方案;更加好的解决方案是激活/在防火墙的取消阻止路径发现。

这实际上是应该通过允许与ICMP的路径发现修复在防火墙的问题。更改在ESA的MTU含义不再将发送足够大的数据包引起问题;然而,根本原因将存在。



Document ID: 117962