ASA :接收和传输巨型以太网帧
目录
简介
本文档提供自适应安全设备(ASA)如何接收和传输巨型以太网帧的信息。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档不限于特定的软件和硬件版本。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
ASA上支持巨帧
启用巨型帧支持需要特定的自适应安全设备(ASA)硬件和软件版本,以及重新启动。有关支持的型号和版本以及如何启用巨型帧的详细信息,请参阅ASA 8.4配置指南部分,启用巨型帧支持(支持的型号)。
请注意,在启用巨型帧支持并重新启动ASA后,应采取以下附加操作以充分利用巨型帧:
-
必须在接口子配置模式下使用mtu命令增加ASA接口的MTU,以便ASA传输巨型帧。
-
必须配置ASA,将TCP连接的TCP MSS调整为比默认值高的值。如果不这样做,则包含TCP数据的以太网帧不会大于1500字节。TCP MSS应调整为比接口MTU的最低设置少120字节。如果接口MTU为9216,则MSS应配置为9096。这可以通过sysopt connection tcpmss命令完成。
如果ASA未配置巨型帧,并且收到巨型帧,情况会如何?
jumbo frame-reservation命令不仅允许发送跳帧,还允许接收。如果未启用巨型帧支持,ASA将丢弃过大的数据包。这些丢包在show interface输出中的“giant”统计下计算:
ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
Input flow control is unsupported, output flow control is on
MAC address 5475.d029.8916, MTU 1500
IP address 10.36.29.1, subnet mask 255.255.0.0
499 packets input, 52146 bytes, 0 no buffer
Received 63 broadcasts, 0 runts, 5 giants <---- HERE
如果ASA成功接收巨帧,但尝试将其从MTU较低的接口发送出去,结果会如何?
要接收巨型帧,ASA必须具有jumbo-frame reservation命令,但不一定需要增加MTU(因为这只影响接口的最大传输大小,而不影响接收)。
如果ASA成功接收巨型帧,但该帧过大,无法从出口接口传输,则根据数据包IP报头中的“不分段(DF)”位的设置,可能会发生以下情况:
-
如果IP报头中设置了DF位,ASA将丢弃数据包,并向发送方发送ICMP类型3代码4消息。
-
如果未设置DF位,ASA将分段数据包,并将分段从出口接口传出。
这是一个ASA CLI会话,它利用数据包捕获来显示ASA在内部接口(大小为4014字节)上接收超巨型帧,该帧太大,无法从出口接口传输(外部的MTU为1500)。 在这种情况下,DF位未在IP报头中设置。数据包在出口从外部接口分段:
ASA# show cap in detail 20 packets captured 1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (ttl 255, id 48872) 2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: (frag 48872:1480@1480+) (ttl 255) 4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6: (frag 48872:1020@2960) (ttl 255) ... ASA# show cap out detail 30 packets captured 1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: (frag 48872:1480@1480+) (ttl 255) 3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1: (frag 48872:1020@2960) (ttl 255) 4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: (frag 48872:1480@1480+) (ttl 255) 6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142: (frag 48872:1020@2960) (ttl 255)
这是一个示例,显示ASA在内部接口上接收超巨型帧,该帧太大,无法从出口接口传输,并且数据包设置了DF位。数据包被丢弃,ICMP第3类代码4错误消息将传输到内部主机:
ASA# show cap in detail 6 packets captured 1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48887) 2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48888) 4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48889) 5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48890) 6 packets shown ASA# show cap out detail 0 packet captured 0 packet shown ASA#
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
01-Oct-2012 |
初始版本 |
反馈