ASA: Empfangen und Senden von Jumbo Ethernet-Frames

Download-Optionen

PDF (155.5 KB)
Mit Adobe Reader auf verschiedenen Geräten anzeigen
ePub (85.3 KB)
In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
Mobi (Kindle) (70.0 KB)
Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen

Aktualisiert:1. Oktober 2012

Dokument-ID:115003

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Inhalt

Einführung

Voraussetzungen

Anforderungen

Verwendete Komponenten

Konventionen

Jumbo Frame-Unterstützung auf der ASA

Was geschieht, wenn die ASA nicht für Jumbo Frames konfiguriert ist und einen Jumbo Frame empfängt?

Was geschieht, wenn die ASA erfolgreich einen Jumbo Frame empfängt, aber versucht, diesen über eine Schnittstelle mit einer niedrigeren MTU zu senden?

Zugehörige Informationen

Einführung

Dieses Dokument enthält Informationen dazu, wie die Adaptive Security Appliance (ASA) Jumbo-Ethernet-Frames empfängt und überträgt.

Voraussetzungen

Anforderungen

Für dieses Dokument bestehen keine speziellen Anforderungen.

Verwendete Komponenten

Dieses Dokument ist nicht auf bestimmte Software- und Hardwareversionen beschränkt.

Konventionen

Weitere Informationen zu Dokumentkonventionen finden Sie unter Cisco Technical Tips Conventions (Technische Tipps zu Konventionen von Cisco).

Jumbo Frame-Unterstützung auf der ASA

Für die Unterstützung von Jumbo Frames sind spezielle Hardware- und Softwareversionen der Adaptive Security Appliance (ASA) sowie ein Neustart erforderlich. Weitere Informationen zu den unterstützten Modellen und Versionen sowie zur Aktivierung von Jumbo Frames finden Sie im Abschnitt zum ASA 8.4-Konfigurationsleitfaden Enabling Jumbo Frame Support (Supported Models).

Beachten Sie, dass nach der Aktivierung der Jumbo Frame-Unterstützung und dem Neustart der ASA diese zusätzlichen Maßnahmen ergriffen werden sollten, um Jumbo Frames vollständig zu nutzen:

Die MTU der ASA-Schnittstellen muss mit dem Befehl mtu im Schnittstellenunterkonfigurationsmodus erhöht werden, damit die ASA Jumbo Frames übertragen kann.
Die ASA muss so konfiguriert werden, dass die TCP-MSS für TCP-Verbindungen auf einen höheren Wert als den Standardwert eingestellt wird. Andernfalls dürfen Ethernet-Frames, die TCP-Daten enthalten, nicht mehr als 1500 Byte enthalten. Die TCP-MSS sollte auf 120 Byte kleiner als die niedrigste Einstellung für die Schnittstellen-MTU eingestellt werden. Wenn die Schnittstellen-MTU 9216 ist, muss die MSS auf 9096 konfiguriert werden. Dies kann mithilfe des Befehls sysopt connection tcpmss erfolgen.

Was geschieht, wenn die ASA nicht für Jumbo Frames konfiguriert ist und einen Jumbo Frame empfängt?

Der Befehl Jumbo Frame-Reservierung ermöglicht nicht nur die Übertragung von Jumbos, sondern auch die Aufnahme. Ohne die Unterstützung von Jumbo Frames verwirft die ASA zu große Pakete. Diese Verwerfungen werden in der Ausgabe der show interface unter der "gigantischen" Statistik gezählt:

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

Was geschieht, wenn die ASA erfolgreich einen Jumbo Frame empfängt, aber versucht, diesen über eine Schnittstelle mit einer niedrigeren MTU zu senden?

Um einen Jumbo-Frame zu erhalten, muss die ASA über den Befehl für die Jumbo-Frame-Reservierung verfügen. Die MTU muss jedoch nicht unbedingt erhöht werden (da sich dies nur auf die maximale Übertragungsgröße für die Schnittstelle und nicht auf den Empfang auswirkt).

Wenn die ASA erfolgreich einen Jumbo-Frame empfängt, dieser jedoch zu groß ist, um die Ausgangsschnittstelle zu übertragen, können diese Situationen in Abhängigkeit von der Einstellung des Don't Fragment (DF)-Bits im IP-Header des Pakets auftreten:

Wenn das DF-Bit im IP-Header festgelegt ist, verwirft die ASA das Paket und sendet eine ICMP-Code-4-Nachricht vom Typ 3 an den Absender.
Wenn das DF-Bit nicht festgelegt ist, fragmentiert die ASA das Paket und überträgt die Fragmente über die Ausgangsschnittstelle.

Dies ist eine ASA CLI-Sitzung, bei der Paketerfassungen verwendet werden, um der ASA zu zeigen, die einen Jumbo-Frame auf der internen Schnittstelle empfängt (mit einer Größe von 4014 Byte), die zu groß ist, um eine Ausgangsschnittstelle zu übertragen (die Außenseite hat eine MTU von 1500). In diesem Fall ist das DF-Bit nicht im IP-Header festgelegt. Das Paket ist an der externen Ausgangsschnittstelle fragmentiert:

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

Dieses Beispiel zeigt ein ASA-Gerät, das einen Jumbo Frame auf der internen Schnittstelle empfängt, das zu groß ist, um die Ausgangsschnittstelle zu übertragen. Das Paket hat das DF-Bit-Set. Das Paket wird verworfen, und die ICMP-Fehlermeldung Typ 3 Code 4 wird an den internen Host übertragen:

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

Zugehörige Informationen

Technischer Support und Dokumentation - Cisco Systems

Revisionsverlauf

Überarbeitung	Veröffentlichungsdatum	Kommentare
1.0	01-Oct-2012	Erstveröffentlichung

Beiträge von Cisco Ingenieuren

Jay Johnston
Cisco TAC Engineer.