IBM テクノロジー : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.0 の問題:MSS の超過 - HTTP クライアントで一部の Web サイトを表示できない

2008 年 5 月 29 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2011 年 8 月 3 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
設定
      ネットワーク ダイアグラム
      PIX セキュリティ アプライアンス 7.0 の設定
トラブルシューティング
回避策
確認
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

このドキュメントでは、7.0 以降のコードが稼働する PIX または Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)を経由する Web アクセスで、一部の Web サイトにアクセスできない問題について説明します。リリース 7.0 ではいくつかのセキュリティ機能拡張が加えられました。その機能拡張の 1 つである TCP エンドポイントの確認では、通知された Maximum Segment Size(MSS; 最大セグメント サイズ)が遵守されます。通常の TCP セッションでは、クライアントがサーバに SYN パケットを送信する際に、SYN パケットの TCP オプションには MSS が含まれます。サーバは SYN パケットを受信すると、クライアントから送信された MSS 値を認識し、自身の MSS 値を SYN-ACK パケットで送信します。クライアントとサーバがお互いの MSS を認識した後は、相手の MSS を超える大きさのパケットは送信できません。ところが、インターネット上にはクライアントが通知した MSS に従わない HTTP サーバが存在することが検出されています。このような HTTP サーバは、通知された MSS よりも大きいデータ パケットをクライアントに送信します。リリース 7.0 より前のバージョンでは、このようなパケットも PIX セキュリティ アプライアンスを通過できていました。7.0 ソフトウェア リリースではセキュリティの機能拡張により、デフォルトではこのようなパケットは廃棄されます。このドキュメントでは、この問題の診断と MSS を超えるパケットを許可するための回避策の実装に役立つ、PIX/ASA セキュリティ アプライアンス管理者向けの情報を示します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、7.0.1 ソフトウェアが稼働する Cisco PIX 525 セキュリティ アプライアンスに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

このドキュメントは、次のバージョンのハードウェアとソフトウェアにも適用できます。

  • リリース 7.0 が稼働する、その他すべての Cisco PIX セキュリティ アプライアンス プラットフォーム。515、515E、および 535 などのプラットフォームが含まれます。

  • すべての Cisco ASA プラットフォーム。5510、5520、および 5540 などのプラットフォームが含まれます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報について記載しています。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

pix-asa-70-browse-1.gif

ネットワーク ダイアグラム
※ 画像をクリックすると、大きく表示されます。

PIX セキュリティ アプライアンス 7.0 の設定

PIX 7.0 のデフォルト設定には次のコンフィギュレーションコマンドが追加されており、HTTP クライアントと HTTP サーバの通信を許可しています。

PIX 7.0.1 の設定
 pixfirewall(config)#interface Ethernet0
 pixfirewall(config-if)#speed 100
 pixfirewall(config-if)#duplex full
 pixfirewall(config-if)#nameif outside
 pixfirewall(config-if)#security-level 0
 pixfirewall(config-if)#ip address 192.168.9.30 255.255.255.0
 pixfirewall(config-if)#exit 
 pixfirewall(config)#interface Ethernet1
 pixfirewall(config-if)#speed 100
 pixfirewall(config-if)#duplex full
 pixfirewall(config-if)#nameif inside
 pixfirewall(config-if)#security-level 100
 pixfirewall(config-if)#ip address 10.0.0.1 255.255.255.0 
 pixfirewall(config-if)#exit 
 pixfirewall(config)#global (outside) 1 interface
 pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0
 pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1
 

トラブルシューティング

特定の Web サイトに PIX/ASA セキュリティ アプライアンス経由でアクセスできない場合は、次の手順を実行して問題のトラブルシューティングを行います。最初に、HTTP 接続のパケットをキャプチャします。パケットを収集するには、HTTP サーバとクライアントの関連 IP アドレス、および PIX セキュリティ アプライアンス通過時のクライアントの変換後の IP アドレスを確認する必要があります。この例のネットワークでは、HTTP サーバのアドレスが 192.168.9.2、HTTP クライアントのアドレスが 10.0.0.2 で、パケットが外部インターネットから送出される際 HTTP クライアントのアドレスが 192.168.9.30 に変換されています。PIX/ASA セキュリティ アプライアンスのキャプチャ機能を使用してパケットを収集することもできますが、外部のパケット キャプチャを使用しても構いません。キャプチャ機能を使用する場合、管理者はリリース 7.0 に含まれている新しいキャプチャ機能も使用できます。この機能では、TCP の異常により廃棄されたパケットもキャプチャできます。

注:次の表内のコマンドの中には、スペースの関係上 2 行にわたって表記されているものがあります。

  1. 外部インターフェイスと内部インターフェイスで入出力されるパケットを識別する、アクセス リストのペアを定義します。

    パケット キャプチャのためのアクセス リストの設定
     pixfirewall(config)#access-list capture-list-in line 1 permitip host 10.0.0.2 host 192.168.9.2  
     
     pixfirewall(config)#access-list capture-list-in line 2 permit ip host 192.168.9.2 host 10.0.0.2 
     
     pixfirewall(config)#access-list capture-list-out line 1 permit ip host 192.168.9.30 host 192.168.9.2  
     
     pixfirewall(config)#access-list capture-list-out line 2 permit ip host 192.168.9.2 host 192.168.9.30
     
  2. 内部インターフェイスと外部インターフェイスでキャプチャ機能を有効にします。TCP 特有の MSS 超過パケットのキャプチャも有効にします。

    パケット キャプチャのためのキャプチャ設定
     pixfirewall(config)#capture capture-outside access-list capture-list-out packet-length 1518 interface outside
     
     pixfirewall(config)#capture capture-inside access-list capture-list-in packet-length 1518 interface inside
     
     pixfirewall(config)#capture mss-capture type asp-drop tcp-mss-exceeded packet-length 1518
     
  3. PIX セキュリティ アプライアンスで Accelerated Security Path(ASP; 高速セキュリティ パス)関連のカウンタを消去します。

    ASP 廃棄統計情報の消去
     pixfirewall(config)#clear asp drop 
  4. ネットワーク上のホストに送信されるデバッグ レベルのトラップ syslog を有効にします。

    トラップ ロギングの有効化
     pixfirewall(config)#logging on
     pixfirewall(config)#logging host inside 10.0.0.2
     pixfirewall(config)#logging trap debug 
  5. HTTP クライアントから、問題のある HTTP サーバとの HTTP セッションを開始します。

    接続が失敗した後に、sylog の出力と次のコマンドの出力を収集します。

    • show capture capture-inside

    • show capture capture-outside

    • show capture mss-capture

    • show asp drop

    接続に失敗したときの Syslog
     %PIX-6-609001: Built local-host inside:10.0.0.2
     %PIX-6-609001: Built local-host outside:192.168.9.2
     %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to 
     outside:192.168.9.30/1024
     %PIX-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80 
     (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024)
     %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
      
     
     !--- 正常な状態では、HTTP サーバから
     !--- Web コンテンツを取得した直後に、
     !--- TCP 接続の切断が記録されます。
     !--- 問題が発生している場合、
     !--- HTTP サーバからのデータ パケットが
     !--- 外部インターフェイスで廃棄され、どちらか一方が
     !--- 接続をリセットするまで、または、PIX セキュリティ アプライアンスの
     !--  接続アイドル タイマーが切れるまで、接続が存続します。
     !--- そのため、302014 syslog メッセージ(TCP ティアダウン)が
     !--- 直後には記録されません。
     
      
     
     !--- PIX/ASA リリース 7.0.2 以降の場合、PIX および ASA
     !--- セキュリティ アプライアンスは、通知された MSS を超えるパケットを
     !--- 受信したときに syslog を発行します。syslog は
     !--- デフォルトで警告レベルに設定されており、次のような形式です。 
     
      
     %PIX-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
     inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440
     

    接続に失敗したときの show コマンドの出力
     pixfirewall#show capture capture-inside
     6 packets captured
        1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80: 
           S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp 
           110211948 0,nop,wscale 0>
      
     
     !--- パケット #1 でクライアントから通知された MSS は 460。
     
      
        2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565: 
           S 1460644203:1460644203(0) ack 3965932252 win 8192 <mss 1380>
        3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: . ack 1460644204 win 1840
        4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80: 
           P 3965932252:3965932351(99) ack 1460644204 win 1840
        5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 8192
        6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 65340
     6 packets shown
     pixfirewall# 
     pixfirewall# 
     pixfirewall#show capture capture-outside
     16 packets captured
        1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80: 
           S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp 
           110211948 0,nop,wscale 0>
      
     
     !--- パケット #1 でクライアントから通知された MSS は 460。
     
      
        2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024: 
           S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460>
        3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: . ack 314834195 win 1840
        4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80: 
           P 473738108:473738207(99) ack 314834195 win 1840
        5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 8192
        6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 65340
      
     
     !--- パケット 7 〜 14 のパケット長は 460 を超えています。
     !--- パケット 7 〜 14 は capture-inside トレースでは確認されません。
     !--- つまり、これらのパケットは PIX セキュリティ アプライアンスで廃棄されたということです。
     !--- パケット 7 〜 14 は show capture mss-capture コマンドの
     !--- 出力にも表示されます。
     
      
        7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024: 
           . 314834195:314835647(1452) ack 473738207 win 65340
        8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314835647:314837099(1452) ack 473738207 win 65340
        9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024: 
           . 314837099:314838551(1452) ack 473738207 win 65340
       10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314838551:314840003(1452) ack 473738207 win 65340
       11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314840003:314841035(1032) ack 473738207 win 65340
       12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314834195:314835647(1452) ack 473738207 win 65340
       13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314834195:314835647(1452) ack 473738207 win 65340
       14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314834195:314835647(1452) ack 473738207 win 65340
       15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024: 
           F 314841035:314841035(0) ack 473738207 win 65340
       16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80: 
           P ack 314834195 win 1840
     16 packets shown
     pixfirewall# 
     pixfirewall# 
     pixfirewall(config)#show capture mss-capture
     8 packets captured
        1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024: 
           . 314834195:314835647(1452) ack 473738207 win 65340
        2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314835647:314837099(1452) ack 473738207 win 65340
        3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024: 
           . 314837099:314838551(1452) ack 473738207 win 65340
        4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314838551:314840003(1452) ack 473738207 win 65340
        5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314840003:314841035(1032) ack 473738207 win 65340
        6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314834195:314835647(1452) ack 473738207 win 65340
        7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314834195:314835647(1452) ack 473738207 win 65340
        8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024: 
           P 314834195:314835647(1452) ack 473738207 win 65340
     8 packets shown
     pixfirewall# 
     pixfirewall# 
     pixfirewall#show asp drop
      
     Frame drop:
       TCP MSS was too large 8
      
     Flow drop:
     pixfirewall#
      
     
     !--- show asp drop コマンドの出力から、
     !--- 8 個のパケットが廃棄されたことがわかります。
     !--- TCP MSS が大きすぎることが原因です。これは、パケット キャプチャの情報の有効性を
     !--- 裏付けています。
     
     

回避策

PIX/ASA セキュリティ アプライアンスがクライアントから通知された MSS 値を超過するパケットを廃棄していることがわかったので、回避策を実装します。クライアント側でバッファ オーバーフローが発生する可能性があるため、このようなパケットはクライアントに到達させないほうがよい場合もあります。その点を考慮したうえで、PIX/ASA セキュリティ アプライアンスでこれらのパケットを通過させるには、次の回避策を実施します。リリース 7.0 の新機能である Modular Policy Framework(MPF)を使用すると、PIX セキュリティ アプライアンスでこれらのパケットを通過させることができます。このドキュメントでは MPF については詳しく説明しませんが、この問題を回避するために使用する設定エンティティを提示します。MPF およびこのセクションに記載されているコマンドの詳細については、『PIX 7.0 コンフィギュレーション ガイド』および『PIX 7.0 コマンド リファレンス』を参照してください。

回避策には、アクセス リストによる HTTP クライアントと HTTP サーバの識別が含まれます。アクセス リストが定義されると、クラスマップが作成され、そのクラスマップにアクセス リストが割り当てられます。次に、tcp マップが設定され、MSS を超えるパケットを許可するオプションが有効にされます。tcp マップとクラスマップが定義されると、それらのマップを新規または既存のポリシーマップに追加できます。次にポリシーマップがセキュリティポリシーに割り当てられます。コンフィギュレーション モードで service-policy コマンドを使用し、外部インターフェイスでポリシーマップをグローバルにアクティブ化します。これらの設定パラメータが PIX 7.0 の設定リストに追加されます。この設定例では、http-map1 という名前のポリシーマップの作成後、そのポリシーマップにクラスマップが追加されています。

MSS を超過するパケットを許可するための MPF の設定
 pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
 pixfirewall(config)#
 pixfirewall#configure terminal
 pixfirewall(config)# 
 pixfirewall(config)#class-map http-map1
 pixfirewall(config-cmap)#match access-list http-list2    
 pixfirewall(config-cmap)#exit
 pixfirewall(config)#tcp-map mss-map
 pixfirewall(config-tcp-map)#exceed-mss allow
 pixfirewall(config-tcp-map)#exit
 pixfirewall(config)#policy-map http-map1
 pixfirewall(config-pmap)#class http-map1
 pixfirewall(config-pmap-c)#set connection advanced-options mss-map
 pixfirewall(config-pmap-c)#exit
 pixfirewall(config-pmap)#exit
 pixfirewall(config)#service-policy http-map1 interface outside
 pixfirewall#
 

設定パラメータが追加されると、クライアントから通知された MSS を超過する 192.168.9.2 からのパケットが PIX セキュリティ アプライアンスの通過を許可されます。クラスマップで使用されたアクセス リストは、192.168.9.2 へのアウトバウンド トラフィックを識別するためのものである点に注意してください。アウトバウンド トラフィックが検査され、インスペクション エンジンが発信 SYN パケットから MSS を抽出します。そのため、SYN パケットの方向でアクセス リストを設定することが必須です。より広範囲な規則が必要な場合は、このセクションにアクセス リスト文を、すべてを許可するアクセス リスト(access-list http-list2 permit ip any anyaccess-list http-list2 permit tcp any any など)に置き換えます。また、TCP MSS に大きな値を設定すると、VPN トンネルの通信が遅くなる可能性があるので注意してください。TCP MSS を低くすると通信効率を上げることができます。

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。

トラブルシューティング」のセクションの手順を繰り返し、設定変更により期待した結果が得られたかどうかを確認します。

接続に成功したときの Syslog
 %PIX-6-609001: Built local-host inside:10.0.0.2
 %PIX-6-609001: Built local-host outside:192.168.9.2
 %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798 
                to outside:192.168.9.30/1025
 %PIX-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80 
                (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025)
 %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
 
 %PIX-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to 
                inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs
  
 
 !--- 接続が確立され、Web コンテンツの取得後
 !--- すぐに接続が切断されます。
  

接続に成功したときの show コマンドの出力
 pixfirewall# 
 pixfirewall#show capture capture-inside
 21 packets captured
    1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S 751781751:751781751(0) 
    win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
  
 
 !--- パケット #1 でクライアントから通知された MSS は 460。
 !--- しかし、回避策の実施により、パケット 7、9、11、13、および 15 が
 !--- MSS が 460 を超えているにもかかわらず、inside トレースに表示されています。
 
  
    2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380>
    3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305880752 win 1840
    4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P 751781752:751781851(99) ack 1305880752 win 1840
    5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 8192
    6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 25840
    7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: . 1305880752:1305882112(1360) ack 751781851 win 25840
    8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305882112 win 4080
    9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P 1305882112:1305883472(1360) ack 751781851 win 25840
   10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305883472 win 6800
   11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: . 1305883472:1305884832(1360) ack 751781851 win 25840
   12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305884832 win 9520
   13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P 1305884832:1305886192(1360) ack 751781851 win 25840
   14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305886192 win 12240
   15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: . 1305886192:1305887552(1360) ack 751781851 win 25840
   16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P 1305887552:1305887593(41) ack 751781851 win 25840
   17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887552 win 14960
   18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887593 win 14960
   19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F 751781851:751781851(0) ack 1305887593 win 14960
   20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F 1305887593:1305887593(0) ack 751781852 win 8192
   21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887594 win 14960
 21 packets shown
 pixfirewall# 
 pixfirewall# 
 pixfirewall#show capture capture-outside
 21 packets captured
    1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80: 
       S 1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
    2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024: 
       S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460>
    3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: . ack 466908059 win 1840
    4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P 1465558596:1465558695(99) ack 466908059 win 1840
    5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 8192
    6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 25840
    7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: . 466908059:466909419(1360) ack 1465558695 win 25840
    8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: . ack 466909419 win 4080
    9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P 466909419:466910779(1360) ack 1465558695 win 25840
   10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: . ack 466910779 win 6800
   11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: . 466910779:466912139(1360) ack 1465558695 win 25840
   12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: . ack 466912139 win 9520
   13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P 466912139:466913499(1360) ack 1465558695 win 25840
   14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P 466914859:466914900(41) ack 1465558695 win 25840
   15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: . ack 466913499 win 12240
   16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: . 466913499:466914859(1360) ack 1465558695 win 25840
   17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914859 win 14960
   18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914900 win 14960
   19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F 1465558695:1465558695(0) ack 466914900 win 14960
   20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F 466914900:466914900(0) ack 1465558696 win 8192
   21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914901 win 14960
 21 packets shown
 pixfirewall#
 pixfirewall(config)#show capture mss-capture
 0 packets captured
 0 packets shown
 pixfirewall#
 pixfirewall#show asp drop
  
 Frame drop:
  
 Flow drop:
 pixfirewall#
  
 
 !--- show capture mss-capture および
 !--- show asp drop で、パケットの廃棄がないことが確認されました。
  


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 65436