ASA: Recebendo e transmitindo frames Ethernet grandes

Opções de download

  • PDF     (121.3 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (85.3 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (69.9 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:1 de outubro de 2012
ID do documento:115003

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento contém informações de como o mecanismo de segurança adaptável (ASA) recebe e transmite quadros ethernet muito grandes.

Prerequisites

Requirements

Não existem requisitos específicos para este documento.

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Suporte a quadros jumbo no ASA

A ativação do suporte a quadros jumbo requer versões específicas de hardware e software do Adaptive Security Appliance (ASA), bem como uma reinicialização. Para obter mais informações sobre os modelos e versões suportados, bem como sobre como habilitar quadros jumbo, consulte a seção do guia de configuração do ASA 8.4, Habilitando o suporte a quadros jumbo (modelos suportados).

Observe que depois de habilitar o suporte a quadros jumbo e reinicializar o ASA, essas ações adicionais devem ser tomadas para fazer uso total dos quadros jumbo:

  • A MTU das interfaces ASA deve ser aumentada com o comando mtu no modo de subconfiguração de interface para que o ASA transmita quadros jumbo.

  • O ASA deve ser configurado para ajustar o TCP MSS para conexões TCP a um valor mais alto que o padrão. Se isso não for feito, os quadros ethernet contendo dados TCP não serão maiores que 1500 bytes. O TCP MSS deve ser ajustado para 120 bytes a menos do que a configuração mais baixa para o MTU da interface. Se o MTU da interface for 9216, o MSS deve ser configurado como 9096. Isso pode ser feito com o comando sysopt connection tcpmss.

E se o ASA não estiver configurado para quadros jumbo e receber um quadro jumbo?

O comando jumbo frame-reserve permite não apenas a transmissão de jumbos, mas também a recepção. Sem o suporte a quadros jumbo ativado, o ASA descartará pacotes grandes demais. Essas quedas são contadas sob a estatística "gigante" na saída show interface: 

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

E se o ASA receber um quadro jumbo com êxito, mas tentar enviá-lo por uma interface com um MTU menor?

Para receber um quadro jumbo, o ASA deve ter o comando jumbo-frame reserve, mas não precisa necessariamente ter o MTU aumentado (porque isso afeta apenas o tamanho máximo de transmissão da interface, não a recepção).

Se o ASA receber com êxito um quadro jumbo, mas esse quadro for muito grande para transmitir pela interface de saída, essas situações podem ocorrer dependendo da configuração do bit Don't Fragment (DF) no cabeçalho IP do pacote:

  • Se o bit DF estiver definido no cabeçalho IP, o ASA descartará o pacote e enviará uma mensagem ICMP de código 3 4 de volta ao remetente.

  • Se o bit DF não estiver definido, o ASA fragmentará o pacote e transmitirá os fragmentos da interface de saída.

Esta é uma sessão do ASA CLI que utiliza capturas de pacotes para mostrar ao ASA que recebe um quadro jumbo na interface interna (com um tamanho de 4.014 bytes) que é muito grande para transmitir interface de saída (o exterior tem uma MTU de 1.500). Nesse caso, o bit DF não está definido no cabeçalho IP. O pacote é fragmentado na saída da interface externa: 

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

Este é um exemplo mostrando um ASA que recebe um quadro jumbo na interface interna muito grande para transmitir pela interface de saída e o pacote tem o bit DF definido. O pacote é descartado e a mensagem de erro ICMP tipo 3 código 4 é transmitida para o host interno: 

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
01-Oct-2012
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Jay Johnston
    Cisco TAC Engineer.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos