セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA: ジャンボ イーサネット フレームの送受信

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、適応型セキュリティ アプライアンス(ASA)がどのようにジャンボ イーサネット フレームを送受信するかについて説明します。

注: 担当者、Jay Johnston、Cisco TAC エンジニア。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ASA でのジャンボ フレームのサポート

ジャンボ フレーム サポートを有効にするには、特定のバージョンの適応型セキュリティ アプライアンス(ASA)ハードウェアとソフトウェアが必要であり、リブートも必要です。 サポート モデルとバージョンの詳細およびジャンボ フレームを有効にする方法の詳細については、『ASA 8.4 構成ガイド』の「ジャンボ フレームのサポートの有効化(サポート モデル)」を参照してください。

ジャンボ フレームのサポートを有効にし、ASA を再起動した後で、ジャンボ フレームを最大限活用するために、以下の追加の措置が必要であることに注意してください。

  • インターフェイス コンフィギュレーション モードで mtu コマンドで ASA インターフェイスの MTU を大きくして、ASA がジャンボ フレームを送信するようにする必要があります。

  • デフォルトよりも大きい値に合わせて TCP 接続用に TCP MSS を調整するように ASA を設定する必要があります。 これを行っていないと、TCP データが含まれるイーサネット フレームは 1500 バイトより大きくなりません。 TCP MSS は、インターフェイス MTU に対する低の設定より小さい 120 バイト未満に調整する必要があります。 インターフェイス MTU が 9216 の場合、MSS は 9096 に設定する必要があります。 これは sysopt connection tcpmss コマンドによって実施できます。

ASA がジャンボ フレーム用に設定されていない場合にジャンボ フレームを受信するとどうなりますか。

jumbo frame-reservation コマンドを使用すると、ジャンボ フレームの伝送だけでなく受信も許可されます。 ジャンボ フレームのサポートを有効にしていない場合、ASA は大きすぎるパケットをドロップします。 これらのドロップは show interface 出力の「giant」統計情報でカウントされます。

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

ASA が正常にジャンボ フレームを受信する一方で、小さい MTU のインターフェイスでそれを送信しようとしています。

ジャンボ フレームを受信するためには、ASA で jumbo-frame reservation コマンドが必要ですが、必ずしも MTU を大きくする必要はありません(インターフェイスの最大伝送サイズだけに影響し、受信には影響しないため)。

ASA が正常にジャンボ フレームを受信する一方で、そのフレームが出力インターフェイスから送信するには大きすぎる場合、パケットの IP ヘッダーにある Don't Fragment(DF)ビットの設定によっては、以下の状況が発生する可能性があります。

  • DF ビットが IP ヘッダーに設定されている場合、ASA ではパケットをドロップし、送信者に ICMP type 3 code 4 メッセージを送信します。

  • DF ビットが設定されていなければ、ASA はパケットをフラグメント化し、フラグメントを出力インターフェイスから送信します。

次にパケット キャプチャを使用する ASA CLI セッションを示します。この ASA で、内部インターフェイスで受信するジャンボ フレーム(サイズが 4014 バイト)は、出力インターフェイスから送信するには大きすぎます(外部インターフェイスの MTU は 1500)。 この場合、DF ビットは IP ヘッダーに設定されていません。 パケットは外部インターフェイスからの出力でフラグメント化されます。

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

出力インターフェイスで送信するには大きすぎるジャンボ フレームを内部インターフェイスで受信し、パケットに DF ビットが設定されている場合の ASA の例を次に示します。 パケットがドロップされ、ICMP type 3 code 4 のエラー メッセージが内部ホストに向けて送信されます。

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 115003