ASA: Recepción y transmisión de tramas Ethernet gigantes

Opciones de descarga

  • PDF     (154.2 KB)
    Visualice con Adobe Reader en una variedad de dispositivos
  • ePub     (85.7 KB)
    Visualice en diferentes aplicaciones en iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (70.5 KB)
    Visualice en dispositivo Kindle o aplicación Kindle en múltiples dispositivos
Actualizado:1 de octubre de 2012
ID del documento:115003

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

Introducción

Este documento provee información sobre cómo el Adaptive Security Appliance (ASA) recibe y transmite tramas Ethernet jumbo.

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Compatibilidad con tramas gigantes en ASA

La habilitación de la compatibilidad con tramas gigantes requiere versiones específicas de hardware y software de Adaptive Security Appliance (ASA), así como un reinicio. Para obtener más información sobre los modelos y versiones soportados, así como sobre cómo habilitar las tramas jumbo, consulte la sección Guía de configuración de ASA 8.4, Habilitación del Soporte de Tramas Jumbo (Modelos Soportados).

Tenga en cuenta que después de habilitar el soporte de tramas jumbo y de reiniciar el ASA, estas acciones adicionales deben llevarse a cabo para aprovechar al máximo las tramas jumbo:

  • La MTU de las interfaces ASA se debe aumentar con el comando mtu en el modo de subconfiguración de interfaz para que el ASA transmita tramas jumbo.

  • El ASA se debe configurar para ajustar el TCP MSS para las conexiones TCP a un valor mayor que el predeterminado. Si esto no se hace, las tramas Ethernet que contienen datos TCP no serán mayores de 1500 bytes. El MSS TCP debe ajustarse a 120 bytes menos que el valor más bajo para la MTU de interfaz. Si la interfaz MTU es 9216, entonces el MSS debe configurarse en 9096. Esto se puede hacer con el comando sysopt connection tcpmss.

¿Qué sucede si el ASA no está configurado para tramas jumbo y recibe una trama jumbo?

El comando jumbo frame-reservation permite no sólo la transmisión de jumbos, sino también la recepción. Sin la compatibilidad con tramas gigantes habilitada, el ASA descartará los paquetes demasiado grandes. Estas caídas se cuentan bajo la estadística "gigante" en el resultado show interface: 

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

¿Qué sucede si el ASA recibe correctamente una trama jumbo pero intenta enviarla a una interfaz con una MTU inferior?

Para recibir una trama Jumbo, el ASA debe tener el comando jumbo-frame reservation, pero no necesariamente necesita que se aumente la MTU (porque eso sólo afecta el tamaño máximo de transmisión para la interfaz, no la recepción).

Si el ASA recibe correctamente una trama jumbo, pero esa trama es entonces demasiado grande para transmitir fuera de la interfaz de salida, estas situaciones pueden ocurrir dependiendo de la configuración del bit Don't Fragment (DF) en el encabezado IP del paquete:

  • Si el bit DF está configurado en el encabezado IP, el ASA descartará el paquete y enviará un mensaje ICMP de código 4 al remitente.

  • Si el bit DF no está configurado, el ASA fragmentará el paquete y transmitirá los fragmentos fuera de la interfaz de egreso.

Se trata de una sesión CLI de ASA que utiliza capturas de paquetes para mostrar al ASA que recibe una trama Jumbo en la interfaz interna (con un tamaño de 4014 bytes) que es demasiado grande para transmitir la interfaz de salida (el exterior tiene una MTU de 1500). En este caso, el bit DF no está configurado en el encabezado IP. El paquete se fragmenta al salir de la interfaz exterior: 

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

Este es un ejemplo que muestra un ASA que recibe una trama Jumbo en la interfaz interna demasiado grande para transmitir fuera de la interfaz de salida, y el paquete tiene el bit DF configurado. El paquete se descarta y el mensaje de error ICMP tipo 3 código 4 se transmite hacia el host interno: 

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

Información Relacionada

Historial de revisiones

Revisión Fecha de publicación Comentarios
1.0
01-Oct-2012
Versión inicial
TAC Authored

Con la colaboración de ingenieros de Cisco

  • Jay Johnston
    Cisco TAC Engineer.

¿Resultó útil este documento?

FeedbackComentarios

Contacte a Cisco

Este documento se aplica a estos productos