معالجة حزم ICMP المجزأة للوصول الآمن من Cisco

خيارات التنزيل

  • PDF     (234.5 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (79.4 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (63.3 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٩ أبريل ٢٠٢٦
معرّف المستند:226010

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

مسألة

لا تتلقى طلبات صدى ICMP الأكبر من MTU الردود عند إرسالها مع تعطيل البت DF (عدم التجزئة). يحدث هذا السلوك في سيناريوهين محددين:

  • من نقاط النهاية RAPN عبر واجهة VPN عند إرسال حزم ICMP التي تتجاوز حجم MTU لواجهة VPN مع مسح بت DF
  • من نقاط النهاية المحلية عبر نفق IPsec بين موجه الموقع والوصول الآمن من Cisco (CSA) عند إرسال حزم ICMP التي تتجاوز حجم MTU لواجهة نفق IPsec مع مسح بت DF

في كلتا الحالتين، لا يتم إستلام استجابات ICMP، مما يؤدي إلى أسئلة حول ما إذا كانت CSA تقوم بإسقاط الحزم المجزأة مع تعطيل بت DF.

البيئة

  • الوصول الآمن (CSA) من Cisco
  • نقاط النهاية RAVPN (Remote Access VPN)
  • أنفاق IPsec بين موجهات الموقع و CSA
  • حركة مرور ICMP التي تتجاوز أحجام وحدة الحد الأقصى للنقل (MTU) للواجهة
  • سيناريوهات حزم مجزأة مع مسح بت DF

قرار

يقوم Cisco Secure Access بإسقاط الحزم المجزأة في كل من السيناريوهات الأساسية والتغشية. يتم توثيق هذا السلوك في وثائق تعليمات الوصول الآمن من Cisco، والتي تنص بشكل صريح على: "يتم إسقاط الحزم المجزأة في الجزء السفلي أو التراكب."

السلوك المتوقع

يتم تصميم الوصول الآمن من Cisco لإسقاط الحزم المجزأة بغض النظر عما إذا كانت تحدث في الشبكة الفرعية أو الشبكية الفرعية. ينطبق هذا على:

  • حزم ICMP التي يتم إرسالها من نقاط النهاية الخاصة بشبكة VPN التي تتجاوز وحدة الحد الأقصى للنقل (MTU) لواجهة شبكة VPN مع مسح بت DF

  • حزم ICMP التي يتم إرسالها من نقاط النهاية المحلية عبر أنفاق IPsec التي تتجاوز وحدة الحد الأقصى للنقل (MTU) لواجهة النفق مع مسح بت DF

وهذا السلوك متناسق عبر جميع السيناريوهات التي تتضمن الحزم المجزأة داخل البنية الأساسية للوصول الآمن من Cisco.

تم إنشاء طلب الميزة CSE-I-5739 لهذا الغرض.

السبب

يتم تصميم Cisco Secure Access لإسقاط الحزم المجزأة كقرار خاص بتصميم الأمان والأداء. يتم تنفيذ هذا السلوك لمنع نقاط الضعف الأمنية المحتملة ومعالجة النفقات الإضافية المرتبطة بإعادة تجميع الحزمة في سيناريوهات الشبكة الفرعية والمترابطة على حد سواء.

المحتوى ذي الصلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
04-Jun-2026
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • TAC

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات