소개
이 문서에서는 특정 도메인과 통신할 수 없으므로 Cisco ESA에서 MTU를 줄이는 방법에 대해 설명합니다.
프리레퀴스트
다음 주제에 대한 지식을 보유하고 있으면 유용합니다.
- Cisco ESA(Email Security Appliances)
- 모든 버전의 AsyncOS
배경
MTU(Maximum Transmission Unit) 검색 경로는 ICMP(Internet Control Message Protocol)를 사용하여 최적의 MTU 크기를 결정합니다.방화벽에서 ICMP 경로 검색 패킷을 차단하는 경우 ICMP에서 오류를 프래그먼트화할 수 없습니다.즉, 호스트가 전송 중인 패킷이 너무 큰지 알 수 없습니다.동일한 큰 패킷을 계속 전송하려고 하면 필터의 반대쪽에 있는 시스템의 보기에서 자동으로 드롭됩니다.
구성
ICMP는 인터넷의 필수 요소이며, 해당 효과를 고려 없이 필터링할 수 없습니다.많은 패킷 필터를 사용하면 특정 유형의 ICMP 메시지만 통과하도록 필터를 설정할 수 있습니다.ICMP에서 메시지를 단편화할 수 없도록 재구성하는 경우(유형 3, 코드 4) 문제를 해결해야 합니다.
MTU가 문제의 원인인지 테스트하려면 CLI 명령을 통해 MTU를 변경할 수 있습니다.
CLI: etherconfig -> MTU
ESA 인터페이스의 기본 MTU 크기는 1500입니다.그러나 이 값을 더 낮은 값으로 설정하고 문제가 해결되는지 확인할 수 있습니다.이는 임시 해결 방법으로만 간주되어야 합니다.방화벽에서 경로 검색을 활성화/차단 해제하는 것이 좋습니다.
이는 실제로 방화벽에서 ICMP로 경로 검색을 허용하여 해결해야 하는 문제입니다.ESA에서 MTU를 변경하면 더 이상 문제를 일으킬 수 있을 만큼 큰 패킷을 보내지 않습니다.그러나 근본 원인은 여전히 존재합니다.
피드백