ASA: إستقبال إطارات Jumbo Ethernet وإرسالها

المقدمة

يقدم هذا المستند معلومات حول كيفية إستقبال جهاز الأمان القابل للتكيف (ASA) لإطارات إيثرنت كبيرة الحجم وإرسالها.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.

الاصطلاحات

راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.

دعم الإطارات Jumbo على ASA

يتطلب تمكين دعم الإطارات الكبيرة إصدارات أجهزة وبرامج أجهزة أجهزة (ASA) المعدلة المحددة، بالإضافة إلى إعادة التمهيد. لمزيد من المعلومات حول الطرز والإصدارات المدعومة، بالإضافة إلى كيفية تمكين إطارات كبيرة، ارجع إلى قسم دليل تكوين ASA 8.4، مما يتيح دعم الإطارات كبيرة الحجم (الطرز المدعومة).

لاحظ أنه بعد تمكين دعم الإطارات كبيرة الحجم وإعادة تشغيل ASA، يجب إتخاذ هذه الإجراءات الإضافية لتحقيق الاستخدام الكامل لإطارات كبيرة الحجم:

• يجب زيادة وحدة الحد الأقصى للإرسال (MTU) لواجهات ASA باستخدام الأمر MTU في وضع التكوين الفرعي للواجهة حتى يقوم ASA بإرسال إطارات Jumbo.

• يجب تكوين ASA لضبط TCP MSS لاتصالات TCP إلى قيمة أعلى من القيمة الافتراضية. إذا لم يتم القيام بذلك، فلن تكون إطارات الإيثرنت التي تحتوي على بيانات TCP أكبر من 1500 بايت. يجب ضبط TCP MSS إلى 120 بايت أقل من أقل إعداد ل MTU للواجهة. إذا كانت وحدة الحد الأقصى للنقل (MTU) للواجهة هي 9216، فيجب تكوين وحدة MSS إلى 9096. يمكن القيام بذلك باستخدام أمر sysopt connection tcpmss.

ماذا لو لم يتم تكوين ASA لإطارات كبيرة الحجم ويتلقى إطارا ضخما؟

لا يتيح أمر حجز الإطارات Jumbo فقط نقل رؤوس الوصلات، ولكن أيضا الاستقبال. بدون تمكين دعم الإطارات كبيرة الحجم، سيقوم ASA بإسقاط الحزم كبيرة جدا. ويتم حساب هذه الانخفاضات تحت إحصائية "عملاقة" في خرج show interface:

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

ماذا لو تلقى ASA إطار Jumbo بنجاح ولكنه حاول إرساله من خلال واجهة مع وحدة الحد الأقصى للنقل (MTU) أقل؟

لتلقي إطار كبير الحجم، يجب أن يحتوي ASA على أمر حجز كبير الحجم، ولكنه لا يحتاج بالضرورة إلى زيادة MTU (لأن ذلك يؤثر فقط على الحد الأقصى لحجم الإرسال للواجهة، وليس الاستقبال).

إذا تلقى ASA إطار jumbo بنجاح، لكن ذلك الإطار يكون عندئذ أكبر من أن يبث واجهة المخرج، تلك الحالات يمكن أن تحدث طبقا لإعداد البت Not Fragment (DF) في رأس IP للحزمة:

• إذا تم تعيين بت DF في رأس IP، سيقوم ASA بإسقاط الحزمة وإرسال رسالة من نوع ICMP رقم 3 ورمز 4 إلى المرسل.

• إذا لم يتم تعيين بت DF، فإن ASA سيقوم بتجزئة الحزمة وبث الأجزاء خارج واجهة المخرج.

هذه جلسة ASA CLI التي تستخدم التقاط الحزمة لإظهار ASA الذي يستقبل إطار jumbo على الواجهة الداخلية (بحجم 4014 بايت) الذي هو أكبر من أن يبث واجهة الخروج (الخارج به MTU 1500). في هذه الحالة لا يتم تعيين بت DF في رأس IP. تمت تجزئة الحزمة على مخرج الواجهة الخارجية:

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

هذا مثال يظهر ASA يستلم إطار jumbo على الواجهة الداخلية كبير جدا أن يبث خارج قارن مخرج، والحزمة لها DF بت مجموعة. يتم إسقاط الحزمة ويتم إرسال رسالة خطأ ICMP النوع 3 الرمز 4 نحو المضيف الداخلي:

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

معلومات ذات صلة

• الدعم التقني والمستندات - Cisco Systems