简介
因为不能与某些域,联络本文描述如何减小在思科ESA的MTU。
Prerequiste
Cisco 建议您了解以下主题:
- 思科电子邮件安全工具(ESA)
- AsyncOS所有版本
背景
最大传输单元(MTU)发现路径依靠互联网控制消息协议(ICMP)确定最佳的MTU大小。如果防火墙阻塞ICMP路径请发现数据包,则ICMP不能分段错误不能有上一步源主机。这意味着发送的主机不会知道数据包太大。它将继续尝试发送同一大数据包,并且将继续静静地丢弃从所有系统视图在过滤器的另一侧的。
配置
没有作用的,由于考虑事项ICMP是互联网的必要组成部分,并且不可能被过滤。许多数据包过滤器将允许您设置过滤器通过只允许ICMP消息特定类型。如果重新配置他们让ICMP不能分段(type3,通过编码4)消息,问题应该解决。
对于测试,如果MTU是问题的原因,您能通过CLI命令更改MTU。
CLI: etherconfig -> MTU
在ESA接口的默认MTU大小是1500;然而,您能设置那为较低值和检查这是否解决问题。应该考虑这作为仅临时应急方案;更加好的解决方案是激活/在防火墙的取消阻止路径发现。
这实际上是应该通过允许与ICMP的路径发现修复在防火墙的问题。更改在ESA的MTU含义不再将发送足够大的数据包引起问题;然而,根本原因将存在。