Pesquise defeitos deixar cair de pacotes devido a um MTU mais alto (o pacote de tamanho grande)

Introdução

Os pacotes em toda a rede podem ter um MTU mais alto do que o tamanho padrão de 1518 bytes. Isto pode fazer com que os pacotes estejam deixados cair na relação de um dispositivo gerenciado antes que estejam processados pelo Snort. Em consequência, não haverá nenhum evento correspondente na relação de usuário de web de um centro de gerenciamento de FireSIGHT. Este documento descreve como verificar as quedas de pacote de informação devido aos pacotes de tamanho grande, e como mudar o padrão as configurações MTU em um sistema de FireSIGHT.

Verificação

A fim determinar se uma gota ocorre devido ao tamanho do MTU, siga as etapas abaixo:

1. Log em seu dispositivo gerenciado através do Shell Seguro (ssh), e sido executado o comando seguinte:

> show portstats

Saídas de exemplo:

2. Verifique os pacotes de tamanho grande para ver se há cada porta. Verifique se o número é zero ou mais altamente. O tiro de tela acima, por exemplo, mostra que os contadores de tamanho grande da porta s1p1 são zero. Esta verificação deixou-o saber que portas estão recebendo pacotes de tamanho grande.

Configuração

Se as relações de seu dispositivo gerenciado consideram pacotes grandes demais, você deve aumentar o MTU nas relações. A fim mudar o MTU, siga as etapas abaixo:

1. Entre à relação de usuário de web de seu centro de gerenciamento de FireSIGHT.

2. Navegue aos dispositivos > ao Gerenciamento de dispositivos.

3. Clique sobre a aba Inline dos grupos, e o clique edita ao lado do grupo que Inline você deseja mudar.

4. Ajuste o campo MTU a um número apropriado baseado no tipo de tráfego de sua rede.

4. Salvar e aplique as mudanças.