ASA: Jumbo Ethernet-frames ontvangen en verzenden

Downloadopties

  • PDF     (154.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (84.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (69.4 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:1 oktober 2012
Document-id:115003

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inleiding

Dit document geeft informatie over de manier waarop de adaptieve security applicatie (ASA) jumboEthernet-frames ontvangt en doorgeeft.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

Dit document is niet beperkt tot specifieke software- en hardware-versies.

Conventies

Raadpleeg Cisco Technical Tips Conventions (Conventies voor technische tips van Cisco) voor meer informatie over documentconventies.

Jumbo-frame-ondersteuning voor ASA

Voor het inschakelen van jumbo-frame-ondersteuning zijn specifieke hardware- en softwareversies van adaptieve security applicatie (ASA) nodig, evenals een herstart. Voor meer informatie over de ondersteunde modellen en versies, zowel als hoe u jumboframes kunt inschakelen, raadpleeg de ASA 8.4 configuratiehandleiding sectie, Jumbo Frame Support (ondersteunde modellen).

Merk op dat na het inschakelen van jumboframe-ondersteuning en het opnieuw opstarten van de ASA deze extra acties moeten worden ondernomen om optimaal gebruik te maken van jumboframes:

  • De MTU van de ASA interfaces moet worden verhoogd met de mtu opdracht in de interface subconfiguratiemodus zodat de ASA jumboframes zal verzenden.

  • ASA moet worden ingesteld om TCP MSS voor TCP verbindingen aan te passen tot een hogere waarde dan de standaard. Als dit niet gedaan wordt, zullen Ethernet frames die TCP gegevens bevatten niet groter zijn dan 1500 bytes. De TCP MSS moet worden aangepast aan 120 bytes minder dan de laagste instelling voor de interface MTU. Als de interface-MTU 9216 is, moet de MSS worden ingesteld op 9096. Dit kan worden gedaan met de opdracht TCP-verbinding maken.

Wat als de ASA niet is geconfigureerd voor jumboframes en een jumboframe krijgt?

Het commando van de parkeren staat niet alleen de overdracht van banen toe, maar ook de ontvangst. Zonder Jumbo frame-ondersteuning die ingeschakeld is, zet ASA te grote pakketten neer. Deze druppels worden geteld volgens het "gigantische" statistiek in de output van de show interface: 

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

Wat als de ASA met succes een jumbo frame ontvangt maar probeert het uit te sturen met een lagere MTU?

Om een jumboframe te kunnen ontvangen, moet de ASA de reserveringsopdracht voor het jumbo-frame hebben, maar hoeft de MTU niet noodzakelijkerwijs te worden verhoogd (omdat dit alleen de maximale transmissiegrootte voor de interface beïnvloedt, niet de ontvangst).

Als de ASA succesvol een jumboframe ontvangt, maar dat frame vervolgens te groot is om de noodopinterface te verzenden, kunnen deze situaties zich voordoen, afhankelijk van de instelling van het bit Don't Fragment (DF) in de IP-header van het pakket:

  • Als het PDF-bit in de IP-header is ingesteld, laat de ASA het pakket vallen en stuurt een ICMP-type 3-code 4-bericht terug naar de afzender.

  • Als het PDF-bit niet is ingesteld, zal de ASA het pakket fragmenteren en de fragmenten vanuit de egress-interface verzenden.

Dit is een ASA CLI-sessie die pakketvastlegging gebruikt om de ASA te tonen die een jumboframe op de interne interface ontvangt (met een grootte van 4014 bytes) die te groot is om uit de stress-interface te verzenden (de buitenkant heeft een MTU van 1500). In dit geval wordt het PDF-bit niet in de IP-header ingesteld. Het pakje is gefragmenteerd op de buiteninterface: 

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

Dit is een voorbeeld dat een ASA ontvangt die een jumboframe op de binneninterface ontvangt te groot om de spanning-interface te verzenden en het pakket heeft het DF-bit ingesteld. Het pakket wordt ingetrokken en het ICMP-type 3 code 4-foutbericht wordt naar de binnenhost verzonden: 

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

Gerelateerde informatie

Revisiegeschiedenis

Revisie Publicatiedatum Opmerkingen
1.0
01-Oct-2012
Eerste vrijgave
TAC Authored

Bijgedragen door Cisco-engineers

  • Jay Johnston
    Cisco TAC Engineer.

Was dit document nuttig?

FeedbackFeedback

Contact Cisco

Dit document is van toepassing op deze producten