ASA:接收和傳輸巨量乙太網幀
目錄
簡介
本文提供自適應安全裝置(ASA)如何接收和傳輸巨型乙太網幀的資訊。
必要條件
需求
本文件沒有特定需求。
採用元件
本文件所述內容不限於特定軟體和硬體版本。
慣例
如需文件慣例的詳細資訊,請參閱思科技術提示慣例。
ASA上的巨型幀支援
啟用巨型幀支援需要特定自適應安全裝置(ASA)硬體和軟體版本以及重新啟動。有關支援的型號和版本以及如何啟用巨型幀的詳細資訊,請參閱ASA 8.4配置指南部分啟用巨型幀支援(支援的型號)。
請注意,在啟用巨型幀支援並重新啟動ASA後,應執行以下附加操作以充分利用巨型幀:
-
在介面子配置模式下,必須使用mtu命令增加ASA介面的MTU,以便ASA傳輸巨型幀。
-
必須將ASA配置為將TCP連線的TCP MSS調整為高於預設值的值。否則,包含TCP資料的乙太網幀將不會大於1500位元組。TCP MSS應調整為比介面MTU的最低設定小120位元組。如果介面MTU為9216,則MSS應設定為9096。可以使用sysopt connection tcpmss命令完成此操作。
如果ASA未配置巨型幀且收到巨型幀,該怎麼辦?
jumbo frame-reservation命令不僅允許傳送巨幀,還允許接收。如果沒有啟用巨型幀支援,ASA將丟棄過大的資料包。在show interface輸出中,這些捨棄會以「giant」統計方式計數:
ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
Input flow control is unsupported, output flow control is on
MAC address 5475.d029.8916, MTU 1500
IP address 10.36.29.1, subnet mask 255.255.0.0
499 packets input, 52146 bytes, 0 no buffer
Received 63 broadcasts, 0 runts, 5 giants <---- HERE
如果ASA成功收到一個巨型幀,但嘗試將其從具有較低MTU的介面傳送出去,該怎麼辦?
為了接收巨型幀,ASA必須使用jumbo-frame reservation命令,但不一定需要增加MTU(因為這隻影響介面的最大傳輸大小,而不影響接收)。
如果ASA成功收到一個巨型幀,但該幀太大,無法從輸出介面傳輸,則根據資料包IP報頭中的「不分段(DF)」位設定,可能會出現以下情況:
-
如果在IP標頭中設定了DF位元,ASA將會捨棄封包,並向傳送者傳送一則ICMP型別3代碼4訊息。
-
如果未設定DF位,ASA將對資料包進行分段,並將片段從輸出介面傳送出去。
這是一個ASA CLI會話,它利用資料包捕獲來顯示ASA在內部介面(大小為4014位元組)上接收巨型幀,該幀過大,無法從輸出介面(外部介面的MTU為1500)。 在這種情況下,不會在IP標頭中設定DF位元。從外部介面傳出時,封包會進行分段:
ASA# show cap in detail 20 packets captured 1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (ttl 255, id 48872) 2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: (frag 48872:1480@1480+) (ttl 255) 4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6: (frag 48872:1020@2960) (ttl 255) ... ASA# show cap out detail 30 packets captured 1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: (frag 48872:1480@1480+) (ttl 255) 3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1: (frag 48872:1020@2960) (ttl 255) 4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: (frag 48872:1480@1480+) (ttl 255) 6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142: (frag 48872:1020@2960) (ttl 255)
以下示例顯示ASA在內部介面上接收巨型幀太大,無法從輸出介面傳出,並且資料包已設定DF位。系統捨棄封包,並向內部主機傳送ICMP型別3代碼4錯誤訊息:
ASA# show cap in detail 6 packets captured 1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48887) 2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48888) 4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48889) 5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48890) 6 packets shown ASA# show cap out detail 0 packet captured 0 packet shown ASA#
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
01-Oct-2012 |
初始版本 |
意見