セキュリティ : Cisco E メール セキュリティ アプライアンス

Cisco ESA の MTU を減少させて下さい

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 4 月 23 日) | フィードバック

概要

ある特定のドメインと通信できないのでこの資料に Cisco ESA の MTU を減少させる方法を記述されています。

Valter Pereira da 肋骨によって貢献される、Cisco TAC エンジニア。

Prerequiste

次の項目に関する知識があることが推奨されます。

  • Cisco E メール セキュリティ アプライアンス(ESA)
  • AsyncOS のすべてのバージョン

背景説明

最大伝送ユニット (MTU) ディスカバリのパスはインターネット制御メッセージ プロトコル (ICMP)に最適 MTU サイズを判別するために頼ります。 ファイアウォールが ICMP パス 検出するパケットをブロックする場合、ICMP はソースホストに到達できませんエラーをフラグメント化できません。 これは送信 して いるパケットが余りに大きいことをホストが知らないことを意味します。 それは同じ大きいパケットを送信 することを試み続けフィルタの反対側のあらゆるシステムのビューから無言で廃棄し続けます。

設定

ICMP はインターネットの統合部分で、効果に関する当然の問題なしでフィルタリングすることができません。 多くのパケットフィルタは特定タイプしかの ICMP メッセージ許可しないためにフィルタを設定することを可能にします。 割り当てるためにそれらを再構成すれば ICMP はフラグメント化できません(型 3 は、4)コード メッセージ、問題解決する必要があります。

テストの場合 MTU が問題の原因なら、CLI コマンドによって MTU を変更できます。

CLI: etherconfig -> MTU

ESA インターフェイスのデフォルトMTUサイズは 1500 です; ただし、より低い値にそれを設定 し、これが問題を解決するかどうか確認できます。 これは一時的な次善策だけとして考慮する必要があります; よりよいソリューションはアクティブになること/ファイアウォールのパス発見を非ブロック化します。

これは実際にファイアウォールの ICMP のパス発見の許可によって解決する必要がある問題です。 ESA の MTU を変更することは意味します問題を引き起こすにはもはや十分に大きいパケットを送信しないことを; ただし、根本的な原因はまだあります。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 117962