Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA: получение и передача Jumbo фреймов Ethernet

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет сведения, как Устройство адаптивной защиты (ASA) получает и передает jumbo фреймы Ethernet.

Примечание: Внесенный Джеем Джонстоном, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Настоящий документ не имеет жесткой привязки к каким-либо конкретным версиям программного обеспечения и оборудования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Поддержка кадров большого размера на ASA

Включение поддержки кадров большого размера требует определенных версий программного и аппаратного обеспечения Устройства адаптивной защиты (ASA), а также перезагрузки. Для получения дополнительной информации о поддерживаемых моделях и версиях, а также как включить кадры большого размера, обращаются к разделу руководства по конфигурации ASA 8.4, Включая Поддержку кадров большого размера (Поддерживаемые Модели).

Обратите внимание на то, что после включения поддержки кадров большого размера и перезагрузки ASA, эти дополнительные меры должны быть приняты для использования в полное мере кадры большого размера:

  • MTU интерфейсов ASA должен быть увеличен с командой mtu в интерфейсном подрежиме конфигурации так, чтобы ASA передал кадры большого размера.

  • ASA должен быть настроен для регулировки TCP MSS для TCP - подключений к более высокому значению, чем по умолчанию. Если это не будет сделано, то фреймы Ethernet, содержащие данные TCP, не будут больше, чем 1500 байтов. TCP MSS должен быть отрегулирован к 120 байтам меньше, чем самая низкая установка для максимального размера блока данных (MTU) интерфейса. Если максимальный размер блока данных (MTU) интерфейса 9216, то MSS должен быть настроен к 9096. Это может быть сделано с командой sysopt connection tcpmss.

Что, если ASA не настроен для кадров большого размера и он получает кадр большого размера?

Команда jumbo frame-reservation позволяет не только передачу jumbos, но также и прием. Без включенной поддержки кадров большого размера ASA отбросит пакеты, которые являются слишком большими. Эти отбрасывания посчитаны под "гигантской" статистической величиной в выходных данных show interface:

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

Что, если ASA успешно получает кадр большого размера, но пытается передать ему интерфейс с более низким MTU?

Для получения кадра большого размера ASA должен иметь команду резервирования кадра большого размера, но должен не обязательно иметь увеличенный MTU (потому что это только влияет на размер максимальной скорости передачи для интерфейса, не прием).

Если ASA успешно получает кадр большого размера, но тот кадр является тогда слишком большим для передачи исходящего интерфейса, эти ситуации могут произойти в зависимости от значения бита "Не фрагментировать" (DF) в IP-заголовке пакета:

  • Если бит DF будет установлен в IP - заголовке, то ASA отбросит пакет и передаст типу ICMP 3 сообщения кода 4 назад к отправителю.

  • Если бит DF будет "not set", то ASA фрагментирует пакет и передаст фрагменты исходящий интерфейс.

Это - сеанс CLI ASA, который использует захваты пакета для показа ASA, получающего кадр большого размера на внутреннем интерфейсе (с размером 4014 байтов), который является слишком большим для передачи исходящего интерфейса (внешняя сторона имеет MTU 1500). В этом случае бит DF является "not set" в IP - заголовке. Пакет фрагментирован на выходе внешний интерфейс:

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

Это - пример, показывая ASA, получающий кадр большого размера на внутреннем интерфейсе, слишком большом для передачи исходящего интерфейса, и пакет имеет Набор битов DF. Пакет отброшен и тип ICMP, 3 сообщения об ошибках кода 4 переданы к внутреннему хосту:

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 115003