Este documento contém informações de como o mecanismo de segurança adaptável (ASA) recebe e transmite quadros ethernet muito grandes.
Não existem requisitos específicos para este documento.
Este documento não se restringe a versões de software e hardware específicas.
Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.
A ativação do suporte a quadros jumbo requer versões específicas de hardware e software do Adaptive Security Appliance (ASA), bem como uma reinicialização. Para obter mais informações sobre os modelos e versões suportados, bem como sobre como habilitar quadros jumbo, consulte a seção do guia de configuração do ASA 8.4, Habilitando o suporte a quadros jumbo (modelos suportados).
Observe que depois de habilitar o suporte a quadros jumbo e reinicializar o ASA, essas ações adicionais devem ser tomadas para fazer uso total dos quadros jumbo:
A MTU das interfaces ASA deve ser aumentada com o comando mtu no modo de subconfiguração de interface para que o ASA transmita quadros jumbo.
O ASA deve ser configurado para ajustar o TCP MSS para conexões TCP a um valor mais alto que o padrão. Se isso não for feito, os quadros ethernet contendo dados TCP não serão maiores que 1500 bytes. O TCP MSS deve ser ajustado para 120 bytes a menos do que a configuração mais baixa para o MTU da interface. Se o MTU da interface for 9216, o MSS deve ser configurado como 9096. Isso pode ser feito com o comando sysopt connection tcpmss.
O comando jumbo frame-reserve permite não apenas a transmissão de jumbos, mas também a recepção. Sem o suporte a quadros jumbo ativado, o ASA descartará pacotes grandes demais. Essas quedas são contadas sob a estatística "gigante" na saída show interface:
ASA# show interface Interface GigabitEthernet0/0 "inside", is up, line protocol is up Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps) Input flow control is unsupported, output flow control is on MAC address 5475.d029.8916, MTU 1500 IP address 10.36.29.1, subnet mask 255.255.0.0 499 packets input, 52146 bytes, 0 no buffer Received 63 broadcasts, 0 runts, 5 giants <---- HERE
Para receber um quadro jumbo, o ASA deve ter o comando jumbo-frame reserve, mas não precisa necessariamente ter o MTU aumentado (porque isso afeta apenas o tamanho máximo de transmissão da interface, não a recepção).
Se o ASA receber com êxito um quadro jumbo, mas esse quadro for muito grande para transmitir pela interface de saída, essas situações podem ocorrer dependendo da configuração do bit Don't Fragment (DF) no cabeçalho IP do pacote:
Se o bit DF estiver definido no cabeçalho IP, o ASA descartará o pacote e enviará uma mensagem ICMP de código 3 4 de volta ao remetente.
Se o bit DF não estiver definido, o ASA fragmentará o pacote e transmitirá os fragmentos da interface de saída.
Esta é uma sessão do ASA CLI que utiliza capturas de pacotes para mostrar ao ASA que recebe um quadro jumbo na interface interna (com um tamanho de 4.014 bytes) que é muito grande para transmitir interface de saída (o exterior tem uma MTU de 1.500). Nesse caso, o bit DF não está definido no cabeçalho IP. O pacote é fragmentado na saída da interface externa:
ASA# show cap in detail 20 packets captured 1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (ttl 255, id 48872) 2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: (frag 48872:1480@1480+) (ttl 255) 4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6: (frag 48872:1020@2960) (ttl 255) ... ASA# show cap out detail 30 packets captured 1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: (frag 48872:1480@1480+) (ttl 255) 3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1: (frag 48872:1020@2960) (ttl 255) 4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: (frag 48872:1480@1480+) (ttl 255) 6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142: (frag 48872:1020@2960) (ttl 255)
Este é um exemplo mostrando um ASA que recebe um quadro jumbo na interface interna muito grande para transmitir pela interface de saída e o pacote tem o bit DF definido. O pacote é descartado e a mensagem de erro ICMP tipo 3 código 4 é transmitida para o host interno:
ASA# show cap in detail 6 packets captured 1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48887) 2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48888) 4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48889) 5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48890) 6 packets shown ASA# show cap out detail 0 packet captured 0 packet shown ASA#
Revisão | Data de publicação | Comentários |
---|---|---|
1.0 |
01-Oct-2012 |
Versão inicial |