Seguridad : Cisco Email Security Appliance

Disminuya el MTU en Cisco ESA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios

Introducción

Este documento describe cómo disminuir el MTU en Cisco ESA, porque no puede comunicar con ciertos dominios.

Contribuido por Valter Pereira DA Costa, ingeniero de Cisco TAC.

Prerequiste

Cisco recomienda que tenga conocimiento sobre estos temas:

  • Dispositivos de seguridad del correo electrónico de Cisco (ESA)
  • Todas las versiones de AsyncOS

Antecedente

La trayectoria de la detección de la Unidad máxima de transmisión (MTU) (MTU) confía en el Internet Control Message Protocol (ICMP) para determinar la talla del MTU óptima. Si el Firewall está bloqueando la trayectoria ICMP descubra los paquetes, después el ICMP no puede hacer fragmentos de los errores no puede volver al host de origen. Esto significa que el host no sabrá que los paquetes que está enviando son demasiado grandes. Guardará el intentar enviar el mismo paquete grande, y guardará el caer silenciosamente de la vista de cualquier sistema en el otro lado del filtro.

Configurar

El ICMP es una parte integrante de Internet y no se puede filtrar sin el teniendo en cuenta para los efectos. Muchos filtros de paquete permitirán que usted configure los filtros para permitir solamente los tipos determinados de mensajes ICMP a través. Si usted los configura de nuevo para dejar el ICMP no puede hacer fragmentos (el tipo 3, los mensajes del código 4) a través, el problema debe ser solucionado.

Para probar si el MTU es la causa de los problemas, usted puede cambiar el MTU vía el comando CLI.

CLI: etherconfig -> MTU

El tamaño de MTU predeterminado en la interfaz ESA es 1500; sin embargo, usted puede fijar eso a un valor inferior y a un control si éste soluciona el problema. Esto se debe considerar como solución provisoria solamente; la mejor solución es activar/desbloquea la detección de trayecto en el Firewall.

Éste es realmente un problema que debe ser reparado permitiendo la detección de trayecto con el ICMP en el Firewall. El cambio del MTU en el ESA significa que enviará no más los paquetes bastante grandes para causar los problemas; sin embargo, la causa raíz todavía existirá.



Document ID: 117962