Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

Проблема ASA 8.3: Клиенты MSS Exceeded - HTTP не могут посещать некоторые веб-сайты

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает проблему, которая происходит, когда некоторые веб-сайты не доступны через Устройство адаптивной защиты (ASA), которое выполняет версию 8.3 или более позднее программное обеспечение.

Выпуск ASA 7.0 представляет несколько новых улучшений безопасности, одно из которых является проверкой для оконечных точек TCP, которые придерживаются Размера Сегмента объявленного максимума (MSS). В обычном сеансе TCP, клиент отправляет пакет SYN на сервер вместе с MSS, включенным в параметры TCP пакета SYN. Серверу после получения пакета SYN необходимо определить значение MSS, отправленное клиентом, а потом отправить свое собственное значение MSS в пакете SYN-ACK. Один раз и клиент и сервер знают о MSS друг друга, никакой узел не должен передавать пакет к другому, который больше, чем MSS того узла.

Обнаружение было сделано этим существует несколько Http server в Интернете, который не соблюдает MSS, который объявляет клиент. Впоследствии, HTTP server передает пакеты данных клиенту, которые больше, чем объявленный MSS. Перед выпуском 7.0 эти пакеты были позволены через ASA. При усовершенствовании безопасности в ПО версии 7.0, данные пакеты стали по умолчанию отбрасываться. Этот документ разработан, чтобы помочь администратору устройства адаптивной защиты Cisco в диагнозе этой проблемы и реализации обходного пути позволять пакеты, которые превышают MSS.

Обратитесь к PIX/ASA 7. X Проблем: Превышенный MSS - Клиенты HTTP не Может Перейти к Некоторым Вебам - узлы/URL для одинаковой конфигурации на устройстве адаптивной защиты Cisco (ASA) с версиями 8.2 и ранее.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на устройстве адаптивной защиты Cisco (ASA), который выполняет программное обеспечение версии 8.3.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Обратитесь к Cisco Technical Tips Conventions для получения информации об условных обозначениях в документации.

Настройка

В данном разделе содержится информация о настройке функций, описанных в этом документе.

Примечание: Для поиска дополнительных сведений о командах в данном документе используйте Средство поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети:

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113137-asa-83-browse-01.gif

Конфигурация ASA 8.3

Эти команды настройки добавлены к конфигурации по умолчанию ASA 8.3, чтобы позволить клиенту HTTP связываться с HTTP server.

Конфигурация ASA 8.3
ASA(config)#interface Ethernet0
ASA(config-if)#speed 100
ASA(config-if)#duplex full
ASA(config-if)#nameif outside
ASA(config-if)#security-level 0
ASA(config-if)#ip address 192.168.9.30 255.255.255.0
ASA(config-if)#exit 
ASA(config)#interface Ethernet1
ASA(config-if)#speed 100
ASA(config-if)#duplex full
ASA(config-if)#nameif inside
ASA(config-if)#security-level 100
ASA(config-if)#ip address 10.0.0.1 255.255.255.0 
ASA(config-if)#exit 
ASA(config)#object network Inside-Network
ASA(config-obj)#subnet 10.0.0.0 255.0.0.0
ASA(config)#nat (inside,outside) source dynamic Inside-Network interface
ASA(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1

Устранение неполадок

Если определенный веб-сайт не доступен через ASA, выполните эти шаги для устранения проблем. Сначала захватите пакеты с соединения HTTP. Для сбора пакетов соответствующие IP-адреса HTTP server и клиента должны быть известны, а также IP-адрес, что клиент преобразован в то, когда это пересекает ASA.

В этом примере сети сервер HTTP имеет адрес 192.168.9.2, клиент HTTP имеет адрес 10.0.0.2, и адреса клиента HTTP преобразуются в 192.168.9.30, когда пакеты покидают внешний интерфейс. Можно использовать функцию перехвата устройства адаптивной защиты Cisco (ASA) для сбора пакетов, или можно использовать внешний захват пакета. При выборе функции захвата, администратор также может использовать новую функцию захвата в версии 7.0, которая позволяет захватывать пакеты, отброшенные из-за ненормальной работы TCP.

Примечание: Некоторые команды в этих таблицах переносятся к второй линии из-за пространственных ограничений.

  1. Определите пару списков доступа, которые определяют пакеты как их вход и выход внутренние и внешние интерфейсы.

    Конфигурация списка доступа для захвата пакетов
    ASA(config)#access-list capture-list-in line 1 permitip 
                           host 10.0.0.2 host 192.168.9.2  
    
    ASA(config)#access-list capture-list-in line 2 permit ip 
                           host 192.168.9.2 host 10.0.0.2 
    
    ASA(config)#access-list capture-list-out line 1 permit ip 
                           host 192.168.9.30 host 192.168.9.2  
    
    ASA(config)#access-list capture-list-out line 2 permit ip 
                           host 192.168.9.2 host 192.168.9.30
    

  2. Включите функцию захвата для внешнего и внутреннего интерфейса. . Также включите функцию захвата для пакетов с превышенным MSS конкретного TCP.

    Конфигурация функции захвата для захвата пакетов
    ASA(config)#capture capture-outside access-list capture-list-out 
                       packet-length 1518 interface outside
    
    ASA(config)#capture capture-inside access-list capture-list-in 
                       packet-length 1518 interface inside
    
    ASA(config)#capture mss-capture type asp-drop tcp-mss-exceeded 
                       packet-length 1518
    

  3. Очистите счетчики Ускоренного пути безопасности (ASP) на ASA.

    Очистите статистики сброса ASP
    ASA(config)#clear asp drop
    

  4. Активируйте системный журнал сообщений на уровне отладки для пакетов, отправленных к хосту в сети.

    Активируйте регистрацию сообщений
    ASA(config)#logging on
    ASA(config)#logging host inside 10.0.0.2
    ASA(config)#logging trap debug
    

  5. Инициируйте сеанс HTTP от клиента HTTP до проблематичного HTTP server и соберите вывод системного журнала и выходные данные от этих команд после сбоев соединения.

    • show capture capture-inside

    • show capture capture-outside

    • show capture mss-capture

    • show asp drop

    Системные журналы от сбоя подключения
    %ASA-6-609001: Built local-host inside:10.0.0.2
    %ASA-6-609001: Built local-host outside:192.168.9.2
    %ASA-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to 
    outside:192.168.9.30/1024
    %ASA-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80 
    (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024)
    %ASA-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
     
    
    !--- Under normal circumstances, you expect to see the TCP connection
    !--- torn down immediately after the retrieval of the web content from
    !--- the HTTP server. When the problem occurs, the data packets from
    !--- the HTTP server are dropped on the outside interface and the
    !--- connection remains until either side resets the connection or the  
    !--- ASA connection idle timer expires. Therefore, you do not immediately 
    !--- see the 302014 syslog message (TCP teardown).
    
     
    
    !--- In ASA release 7.0.2 and later, the ASA issues a syslog
    !--- when it receives a packet that exceeds the advertised MSS. 
    !--- The syslog, which defaults to warning level, has this format: 
    
    
    %ASA-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440
    
    
    !--- In ASA release 7.0.2 and later, the ASA Security Appliance issues
    !--- a syslog when it receives a packet that exceeds the advertised MSS.
    !--- The syslog, which defaults to warning level, has this format:
    
    
    %ASA-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440

    Примечание: Дополнительные сведения об этом сообщении об ошибке см. в разделе Сообщения системного журнала 419001.

    Выходные данные команд show при неудачном подключении
    ASA#show capture capture-inside
    6 packets captured
       1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80: 
          S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565: S 
          1460644203:1460644203(0) ack 3965932252 win 8192  
          <mss 1380>
       3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: .  
          ack 1460644204 win 1840
       4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80: 
          P 3965932252:3965932351(99) ack 1460644204 win 1840
       5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: .  
          ack 3965932351 win 8192
       6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: .  
          ack 3965932351 win 65340
    6 packets shown
    ASA# 
    ASA# 
    ASA#show capture capture-outside
    16 packets captured
       1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80: 
          S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024: 
          S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460>
       3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: .  
          ack 314834195 win 1840
       4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80: 
          P 473738108:473738207(99) ack 314834195 win 1840
       5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: .  
          ack 473738207 win 8192
       6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: .  
          ack 473738207 win 65340
     
    
    !--- In packets 7 through 14, the length of the packet exceeds 460.
    !--- Packets 7 through 14 are not observed on the capture-inside
    !--- trace. This means that they were dropped by the ASA. Packets
    !--- 7 through 14 are also represented in the output of the
    !--- show capture mss-capture command.
    
     
       7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
      10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
      11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
      12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024: 
          F 314841035:314841035(0) ack 473738207 win 65340
      16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80: 
          P ack 314834195 win 1840
    16 packets shown
    ASA# 
    ASA# 
    ASA(config)#show capture mss-capture
    8 packets captured
       1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
       4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
       5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
       6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
    8 packets shown
    ASA# 
    ASA# 
    ASA#show asp drop
     
    Frame drop:
      TCP MSS was too large 8
     
    Flow drop:
    ASA#
     
    
    !--- The show asp drop command reports that eight packets
    !--- were dropped because the TCP MSS is too large, which
    !--- validates the information derived from the packet captures.
    
    

Обходной путь

Внедрите обходной путь теперь, когда вы знаете, что ASA отбрасывает пакеты, которые превышают значение MSS, объявленное клиентом. Помните, что вам не обязательно, чтобы все пакеты достигли клиента, так как это может привести к переполнению буфера клиента. Если вы принимаете решение позволить эти пакеты через ASA, продолжить эту обходную процедуру.

Модульная система политик (MPF) является новой характеристикой в этих 7.0 выпусках, которые используются для разрешения этих пакетов через ASA. В данном документе не предоставляется подробного описания MPF, а предлагаются записи конфигурации, которые используются для решения данной проблемы. Обратитесь к руководству по конфигурации ASA 8.3 и Справочнику по командам ASA 8.3 для получения дополнительной информации о MPF и любой из команд, перечисленных в этом разделе.

В обзор обходного пути включена идентификация клиента HTTP и серверов через список доступа. Когда список доступа определен, создается карта класса, и для нее назначается список доступа. После этого настраивается карта tcp и активируется разрешение прохождения пакетов, которые превышают MSS. Когда карта tcp и карта класса определены, можно добавить их в новую или существующую карту политики. После этого карта политики назначается для политики безопасности. Используйте команду service-policy в режиме конфигурации для активации карты политик глобально или на интерфейсе. Эти параметры конфигурации добавлены к устройству адаптивной защиты Cisco (ASA) 8.3 Списков Конфигурации. После создания карты политики под названием http-map1, данная примерная конфигурация добавляет карту класса в карту политики.

Определенный интерфейс: Конфигурация MPF, чтобы разрешить прохождение пакетов, превышающих MSS
ASA(config)#access-list http-list2 permit tcp any host 192.168.9.2
ASA(config)#
ASA#configure terminal
ASA(config)# 
ASA(config)#class-map http-map1
ASA(config-cmap)#match access-list http-list2    
ASA(config-cmap)#exit
ASA(config)#tcp-map mss-map
ASA(config-tcp-map)#exceed-mss allow
ASA(config-tcp-map)#exit
ASA(config)#policy-map http-map1
ASA(config-pmap)#class http-map1
ASA(config-pmap-c)#set connection advanced-options mss-map
ASA(config-pmap-c)#exit
ASA(config-pmap)#exit
ASA(config)#service-policy http-map1 interface outside
ASA#

Как только эти параметры конфигурации существуют, пакеты от 192.168.9.2, которые превышают MSS, объявленный клиентом, позволены через ASA. Важно отметить, что список доступа, который используется в карте класса, разработан для определения исходящего трафика для 192.168.9.2. Исходящий трафик рассматривается, чтобы разрешить модулю проверки извлекать MSS в исходящем пакете SYN. Таким образом, необходимо настраивать список доступа, учитывая направление SYN. Если более распространяющееся правило требуется, можно заменить оператор access-list в этом разделе с оператором access-list, который разрешает все, такое как permit ip any any http-list2 access-list, или http-list2 access-list разрешают tcp любого любой. Также помните, что прохождение по туннелю VPN может быть замедлено из-за большого значения MSS TCP. Можно уменьшить MSS TCP, чтобы улучшить производительность.

Данный пример помогает настраивать глобально входящий и исходящий трафик в ASA:

Глобальная конфигурация: Конфигурация MPF, чтобы разрешить прохождение пакетов, превышающих MSS
ASA(config)#access-list http-list2 permit tcp any host 192.168.9.2
ASA(config)#
ASA#configure terminal
ASA(config)# 
ASA(config)#class-map http-map1
ASA(config-cmap)#match any    
ASA(config-cmap)#exit
ASA(config)#tcp-map mss-map
ASA(config-tcp-map)#exceed-mss allow
ASA(config-tcp-map)#exit
ASA(config)#policy-map http-map1
ASA(config-pmap)#class http-map1
ASA(config-pmap-c)#set connection advanced-options mss-map
ASA(config-pmap-c)#exit
ASA(config-pmap)#exit
ASA(config)#service-policy http-map1 global
ASA#

Проверка.

В данном разделе содержатся сведения о проверке работы конфигурации.

Повторите шаги в раздел Устранения неполадок, чтобы проверить, что изменения конфигурации делают то, что они разработаны, чтобы сделать.

Системные журналы при успешном подключении
%ASA-6-609001: Built local-host inside:10.0.0.2
%ASA-6-609001: Built local-host outside:192.168.9.2
%ASA-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798 
               to outside:192.168.9.30/1025
%ASA-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80 
               (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025)
%ASA-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/

%ASA-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to 
               inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs
 

!--- The connection is built and immediately
!--- torn down when the web content is retrieved.

Выходные данные команд show при успешном подключении
ASA# 
ASA#show capture capture-inside
21 packets captured
   1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S  
      751781751:751781751(0) 
   win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
 

!--- The advertised MSS of the client is 460 in packet #1. However,
!--- with th workaround in place, packets 7, 9, 11, 13, and 15 appear 
!--- on the inside trace, despite the MSS>460.

 
   2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 
      1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380>
   3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . 
      ack 1305880752 win 1840
   4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P  
      751781752:751781851(99) ack 1305880752 win 1840
   5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: .  
      ack 751781851 win 8192
   6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: .  
      ack 751781851 win 25840
   7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: .  
      1305880752:1305882112(1360) ack 751781851 win 25840
   8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: .  
      ack 1305882112 win 4080
   9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P  
      1305882112:1305883472(1360) ack 751781851 win 25840
  10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: .  
      ack 1305883472 win 6800
  11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: .  
      1305883472:1305884832(1360) ack 751781851 win 25840
  12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: .  
      ack 1305884832 win 9520
  13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P  
      1305884832:1305886192(1360) ack 751781851 win 25840
  14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: .  
      ack 1305886192 win 12240
  15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: .  
      1305886192:1305887552(1360) ack 751781851 win 25840
  16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P  
      1305887552:1305887593(41) ack 751781851 win 25840
  17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: .  
      ack 1305887552 win 14960
  18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: .  
      ack 1305887593 win 14960
  19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F  
      751781851:751781851(0) ack 1305887593 win 14960
  20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F  
      1305887593:1305887593(0) ack 751781852 win 8192
  21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: .  
      ack 1305887594 win 14960
21 packets shown
ASA# 
ASA# 
ASA#show capture capture-outside
21 packets captured
   1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80: S  
      1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp  
      110313116 0,nop,wscale 0>
   2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024: 
      S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460>
   3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: .  
      ack 466908059 win 1840
   4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P  
      1465558596:1465558695(99) ack 466908059 win 1840
   5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: .  
      ack 1465558695 win 8192
   6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: .  
      ack 1465558695 win 25840
   7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: .  
      466908059:466909419(1360 ack 1465558695 win 25840
   8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: .  
      ack 466909419 win 4080
   9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P  
      466909419:466910779(1360) ack 1465558695 win 25840
  10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: .  
      ack 466910779 win 6800
  11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: .  
      466910779:466912139(1360) ack 1465558695 win 25840
  12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: .  
      ack 466912139 win 9520
  13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P  
      466912139:466913499(1360) ack 1465558695 win 25840
  14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P  
      466914859:466914900(41) ack 1465558695 win 25840
  15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: .  
      ack 466913499 win 12240
  16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: .  
      466913499:466914859(1360) ack 1465558695 win 25840
  17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: .  
      ack 466914859 win 14960
  18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: .  
      ack 466914900 win 14960
  19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F  
      1465558695:1465558695(0) ack 466914900 win 14960
  20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F  
      466914900:466914900(0) ack 1465558696 win 8192
  21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: .  
      ack 466914901 win 14960
21 packets shown
ASA#
ASA(config)#show capture mss-capture
0 packets captured
0 packets shown
ASA#
ASA#show asp drop
 
Frame drop:
 
Flow drop:
ASA#
 

!--- Both the show capture mss-capture and the show asp drop 
!--- commands reveal that no packets are dropped. 

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113137