Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

Problema del PIX/ASA 7.X: MSS excedido - Los clientes HTTP no pueden navegar a algunos Web site

23 Octubre 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

Este documento aborda el problema cuando algunos sitios web no son accesibles con un PIX o el dispositivo de seguridad adaptante (ASA) ese funciona con 7.0 o el código más reciente. La versión 7.0 introduce varias nuevas mejoras de seguridad, una de las cuales es una comprobación de los puntos finales TCP que se adhieren al máximo tamaño del segmento anunciado (MSS). En una sesión TCP normal, el cliente envía un paquete SYN al servidor, con el MSS incluido dentro de la opción TCP del paquete SYN. El servidor, tras la recepción del paquete SYN, debe reconocer el valor MSS enviado por el cliente y enviar su propio valor MSS en el paquete SYN-ACK. Una vez que el cliente y el servidor son conscientes del MSS de cada uno, ningún peer debe enviar un paquete al otro que sea mayor que el MSS de ese peer. Se ha detectado que hay algunos servidores HTTP en Internet que no cumplen el MSS que anuncia el cliente. En consecuencia, el servidor HTTP envía paquetes de datos al cliente que son más grandes que el MSS anunciado. Antes de la versión 7.0, estos paquetes se permitían a través de PIX Security Appliance. Con la mejora de la seguridad incluida en la versión del software 7.0, estos paquetes se descartan de forma predeterminada. Este documento está diseñado para ayudar al administrador de PIX/ASA Security Appliance en el diagnóstico de este problema y la implementación de una solución alternativa para permitir los paquetes que exceden el MSS.

Refiera al problema ASA 8.3: MSS excedido - Los clientes HTTP no pueden hojear a algunos sitios web para más información sobre la configuración idéntica usando el Administrador de dispositivos de seguridad adaptante (ASDM) con Cisco ASA con la versión 8.3 y posterior.

prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información en este documento se basa en un Dispositivo de seguridad Cisco PIX 525 que funcione con el software 7.0.1.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Usted puede también utilizar este documento con estas versiones de software y hardware:

  • El resto de las Plataformas del dispositivo de seguridad del Cisco PIX que pueden funcionar con la versión 7.0. Estas Plataformas incluyen los 515, 515E, y 535.

  • Todas las plataformas ASA de Cisco. Estas Plataformas incluyen los 5510, los 5520, y los 5540.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección se presenta información para configurar las características que este documento describe.

Nota: Utilice la herramienta de búsqueda de comandos (clientes registrados solamente) para encontrar la información adicional en los comandos las aplicaciones de este documento.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

/image/gif/paws/65436/pix-asa-70-browse-1.gif

Configuración del dispositivo de seguridad 7.0 PIX

Agregan a estos comandos configuration a una configuración predeterminada PIX 7.0 de permitir que el cliente HTTP comunique con el servidor HTTP.

Configuración PIX 7.0.1
pixfirewall(config)#interface Ethernet0
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif outside
pixfirewall(config-if)#security-level 0
pixfirewall(config-if)#ip address 192.168.9.30 255.255.255.0
pixfirewall(config-if)#exit 
pixfirewall(config)#interface Ethernet1
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif inside
pixfirewall(config-if)#security-level 100
pixfirewall(config-if)#ip address 10.0.0.1 255.255.255.0 
pixfirewall(config-if)#exit 
pixfirewall(config)#global (outside) 1 interface
pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0
pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1

Troubleshooting

Si un sitio web determinado no es accesible a través del dispositivo de seguridad del PIX/ASA, complete estos pasos para resolver problemas. Usted primero necesita capturar los paquetes de la conexión HTTP. Para recoger los paquetes, los IP Addresses relevantes del servidor HTTP y el cliente necesitan ser conocidos, así como la dirección IP que traducen al cliente a cuando atraviesa el dispositivo de seguridad PIX. En la red de muestra, el servidor HTTP se dirige en 192.168.9.2, el cliente HTTP se dirige en 10.0.0.2, y los direccionamientos del cliente HTTP se traducen a 192.168.9.30 mientras que los paquetes salen de la interfaz exterior. Usted puede utilizar la característica de la captura del dispositivo de seguridad del PIX/ASA para recoger los paquetes, o usted puede utilizar a una captura de paquetes externa. Si usted se prepone utilizar la característica de la captura, el administrador puede también utilizar una nueva característica de la captura incluida en la versión 7.0 que permite que el administrador capture los paquetes que son caído debido a una anomalía de TCP.

Nota: Algunos de los comandos en estas tablas se envuelven a una segunda línea debido a las razones espaciales.

  1. Defina un par de listas de acceso que identifiquen los paquetes como ellas ingreso y salida el exterior y las interfaces interiores.

    Configuración de la lista de acceso para la captura de paquetes
    pixfirewall(config)#access-list capture-list-in line 1 permitip host 10.0.0.2 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-in line 2 permit ip host 192.168.9.2 host 10.0.0.2 
    
    pixfirewall(config)#access-list capture-list-out line 1 permit ip host 192.168.9.30 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-out line 2 permit ip host 192.168.9.2 host 192.168.9.30
    

  2. Habilite la característica de la captura para ambos las interfaces interiores y exteriores. También habilite la captura para los paquetes MSS-excedidos TCP-específicos.

    Capture la configuración para la captura de paquetes
    pixfirewall(config)#capture capture-outside access-list capture-list-out packet-length 1518 interface outside
    
    pixfirewall(config)#capture capture-inside access-list capture-list-in packet-length 1518 interface inside
    
    pixfirewall(config)#capture mss-capture type asp-drop tcp-mss-exceeded packet-length 1518
    

  3. Borre los contadores acelerados de la trayectoria de la Seguridad (ASP) en el dispositivo de seguridad PIX.

    Borre las estadísticas del descenso ASP
    pixfirewall(config)#clear asp drop
    

  4. Habilite el syslogging del desvío en el nivel de debug enviado a un host en la red.

    Habilite el registro del desvío
    pixfirewall(config)#logging on
    pixfirewall(config)#logging host inside 10.0.0.2
    pixfirewall(config)#logging trap debug
    

  5. Inicie HTTP session del cliente HTTP al servidor HTTP problemático.

    Recoja la salida de Syslog y la salida de estos comandos después de que la conexión falle.

    • muestre la captura captura-dentro de

    • muestre el captura-exterior de la captura

    • muestre la mss-captura de la captura

    • muestre el descenso ASP

    Syslog de una falla de conexión
    %PIX-6-609001: Built local-host inside:10.0.0.2
    %PIX-6-609001: Built local-host outside:192.168.9.2
    %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to 
    outside:192.168.9.30/1024
    %PIX-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80 
    (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024)
    %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
     
    
    !--- Under normal circumstances, you expect 
    !--- to see the TCP connection torn down immediately 
    !--- after the retrieval of the web content from 
    !--- the HTTP server.  When the problem occurs, the 
    !--- data packets from the HTTP server are dropped on 
    !--- the outside interface and the connection  
    !--- remains until either side resets the connection 
    !--  or the PIX Security Appliance connection idle 
    !--- timer expires.  Therefore, you do not immediately
    !--- see the 302014 syslog message (TCP teardown).
    
     
    
     
    
    !--- In PIX release 7.0.2 and later, the PIX 
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format: 
    
    
    %PIX-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440
    
    
    
    
    !--- In ASA release 7.0.2 and later, the ASA
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format:
    
    
    %ASA-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440

    Nota: Refiera al mensaje del registro del sistema 419001 para más información sobre este mensaje de error.

    Resultado del comando show de una falla de conexión
    pixfirewall#show capture capture-inside
    6 packets captured
       1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80: 
          S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565: 
          S 1460644203:1460644203(0) ack 3965932252 win 8192 <mss 1380>
       3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: . ack 1460644204 win 1840
       4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80: 
          P 3965932252:3965932351(99) ack 1460644204 win 1840
       5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 8192
       6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 65340
    6 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show capture capture-outside
    16 packets captured
       1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80: 
          S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024: 
          S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460>
       3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: . ack 314834195 win 1840
       4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80: 
          P 473738108:473738207(99) ack 314834195 win 1840
       5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 8192
       6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 65340
     
    
    !--- In packets 7 through 14, the length of the packet exceeds 460.
    !--- Packets 7 through 14 are not observed on the capture-inside trace.
    !--- This means that they were dropped by the PIX Security Appliance.
    !--- Packets 7 through 14 are also represented in the output of the 
    !--- show capture mss-capture command.
    
     
       7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
      10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
      11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
      12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024: 
          F 314841035:314841035(0) ack 473738207 win 65340
      16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80: 
          P ack 314834195 win 1840
    16 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall(config)#show capture mss-capture
    8 packets captured
       1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
       4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
       5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
       6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
    8 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show asp drop
     
    Frame drop:
      TCP MSS was too large 8
     
    Flow drop:
    pixfirewall#
     
    
    !--- The show asp drop command reports 
    !--- that eight packets were dropped because the
    !--- TCP MSS is to large. This corroborates the information derived from
    !--- the packet captures.
    
    

Solución Aternativa

Implemente un workaround ahora que usted sabe que el dispositivo de seguridad del PIX/ASA cae los paquetes que exceden el valor MSS de divulgación por el cliente. Tenga presente que usted puede ser que no quiera permitir que estos paquetes alcancen al cliente debido a una saturación del búfer potencial en el cliente. Si usted elige permitir estos paquetes a través del dispositivo de seguridad del PIX/ASA, proceda con este procedimiento de solución alternativa. Una nueva función en la versión 7.0 llamada el Marco de políticas modular (MPF) se utiliza para permitir estos paquetes a través del dispositivo de seguridad PIX. Este documento no se diseña para detallar completamente el MPF, sino sugiere bastante las entidades de configuración usadas para trabajar alrededor del problema. Refiera a la guía de configuración PIX 7.0 y al manual de referencia de comandos PIX 7.0 para más información sobre el MPF y los comandos uces de los enumerados en esta sección.

Una descripción a la solución alternativa incluye la identificación del cliente HTTP y de los servidores vía una lista de acceso. Una vez que se define la lista de acceso, se crea un clase-mapa y la lista de acceso se asigna al clase-mapa. Entonces un TCP-mapa se configura y la opción para permitir los paquetes que exceden el MSS se habilita. Una vez que se definen el TCP-mapa y el clase-mapa, usted puede agregarlos a un directiva-mapa nuevo o existente. Un directiva-mapa entonces se asigna a una política de seguridad. Utilice el comando service-policy en el modo de configuración de activar una correspondencia de políticas en una interfaz/global. Estos parámetros de la configuración se agregan a la lista de la configuración PIX 7.0. Después de que usted cree una correspondencia de políticas nombrada http-map1, esta configuración de muestra agrega el clase-mapa a este directiva-mapa.

Interfaz específica: Configuración MPF para permitir los paquetes que exceden el MSS
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match access-list http-list2    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 interface outside
pixfirewall#

Una vez que estos parámetros de la configuración existen, los paquetes de 192.168.9.2 que exceden el MSS de divulgación por el cliente se permiten a través del dispositivo de seguridad PIX. Es importante observar que la lista de acceso usada en el clase-mapa está diseñada para identificar el tráfico saliente a 192.168.9.2. El tráfico saliente se examina para permitir que el motor del examen extraiga el MSS del paquete SYN saliente. Por lo tanto, es imprescindible configurar la lista de acceso con la dirección del SYN en la mente. Si se requiere una regla más penetrante, usted puede substituir la sentencia de lista de acceso en esta sección por una lista de acceso que permita todo, tal como IP del permiso de la lista de acceso http-list2 cualquier o permiso tcp de la lista de acceso http-list2 cualquier. También recuerde que el túnel VPN puede ser lento si un valor grande de TCP MSS se utiliza. Usted puede reducir TCP MSS para mejorar el funcionamiento.

Este ejemplo ayuda a configurar global entrante/el tráfico saliente adentro ASA/PIX:

Configuración global: Configuración MPF para permitir los paquetes que exceden el MSS
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match any    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 global
pixfirewall#

Verificación

En esta sección encontrará información que puede utilizar para comprobar que su configuración funcione correctamente.

Relance los pasos en la sección del Troubleshooting para verificar que los cambios de configuración hacen lo que se diseñan para hacer.

Syslog de una conexión satisfactoria
%PIX-6-609001: Built local-host inside:10.0.0.2
%PIX-6-609001: Built local-host outside:192.168.9.2
%PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798 
               to outside:192.168.9.30/1025
%PIX-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80 
               (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025)
%PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/

%PIX-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to 
               inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs
 

!--- The connection is built and immediately torn down
!--- when the web content is retrieved.

Resultado del comando show de una conexión satisfactoria
pixfirewall# 
pixfirewall#show capture capture-inside
21 packets captured
   1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S 751781751:751781751(0) 
   win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
 

!--- The advertised MSS of the client is 460 in packet #1.
!--- However, with the workaround in place, packets 7, 9, 11, 13,
!--- and 15 appear on the inside trace, despite the MSS>460.

 
   2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380>
   3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305880752 win 1840
   4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P 751781752:751781851(99) ack 1305880752 win 1840
   5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 8192
   6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 25840
   7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: . 1305880752:1305882112(1360) ack 751781851 win 25840
   8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305882112 win 4080
   9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P 1305882112:1305883472(1360) ack 751781851 win 25840
  10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305883472 win 6800
  11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: . 1305883472:1305884832(1360) ack 751781851 win 25840
  12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305884832 win 9520
  13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P 1305884832:1305886192(1360) ack 751781851 win 25840
  14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305886192 win 12240
  15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: . 1305886192:1305887552(1360) ack 751781851 win 25840
  16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P 1305887552:1305887593(41) ack 751781851 win 25840
  17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887552 win 14960
  18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887593 win 14960
  19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F 751781851:751781851(0) ack 1305887593 win 14960
  20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F 1305887593:1305887593(0) ack 751781852 win 8192
  21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887594 win 14960
21 packets shown
pixfirewall# 
pixfirewall# 
pixfirewall#show capture capture-outside
21 packets captured
   1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80: 
      S 1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
   2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024: 
      S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460>
   3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: . ack 466908059 win 1840
   4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P 1465558596:1465558695(99) ack 466908059 win 1840
   5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 8192
   6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 25840
   7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: . 466908059:466909419(1360) ack 1465558695 win 25840
   8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: . ack 466909419 win 4080
   9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P 466909419:466910779(1360) ack 1465558695 win 25840
  10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: . ack 466910779 win 6800
  11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: . 466910779:466912139(1360) ack 1465558695 win 25840
  12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: . ack 466912139 win 9520
  13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P 466912139:466913499(1360) ack 1465558695 win 25840
  14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P 466914859:466914900(41) ack 1465558695 win 25840
  15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: . ack 466913499 win 12240
  16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: . 466913499:466914859(1360) ack 1465558695 win 25840
  17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914859 win 14960
  18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914900 win 14960
  19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F 1465558695:1465558695(0) ack 466914900 win 14960
  20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F 466914900:466914900(0) ack 1465558696 win 8192
  21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914901 win 14960
21 packets shown
pixfirewall#
pixfirewall(config)#show capture mss-capture
0 packets captured
0 packets shown
pixfirewall#
pixfirewall#show asp drop
 
Frame drop:
 
Flow drop:
pixfirewall#
 

!--- Both the show capture mss-capture 
!--- and the show asp drop reveal that no packets are dropped.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 65436