يقدم هذا المستند معلومات حول كيفية إستقبال جهاز الأمان القابل للتكيف (ASA) لإطارات إيثرنت كبيرة الحجم وإرسالها.
لا توجد متطلبات خاصة لهذا المستند.
لا يقتصر هذا المستند على إصدارات برامج ومكونات مادية معينة.
راجع اصطلاحات تلميحات Cisco التقنية للحصول على مزيد من المعلومات حول اصطلاحات المستندات.
يتطلب تمكين دعم الإطارات الكبيرة إصدارات أجهزة وبرامج أجهزة أجهزة (ASA) المعدلة المحددة، بالإضافة إلى إعادة التمهيد. لمزيد من المعلومات حول الطرز والإصدارات المدعومة، بالإضافة إلى كيفية تمكين إطارات كبيرة، ارجع إلى قسم دليل تكوين ASA 8.4، مما يتيح دعم الإطارات كبيرة الحجم (الطرز المدعومة).
لاحظ أنه بعد تمكين دعم الإطارات كبيرة الحجم وإعادة تشغيل ASA، يجب إتخاذ هذه الإجراءات الإضافية لتحقيق الاستخدام الكامل لإطارات كبيرة الحجم:
يجب زيادة وحدة الحد الأقصى للإرسال (MTU) لواجهات ASA باستخدام الأمر MTU في وضع التكوين الفرعي للواجهة حتى يقوم ASA بإرسال إطارات Jumbo.
يجب تكوين ASA لضبط TCP MSS لاتصالات TCP إلى قيمة أعلى من القيمة الافتراضية. إذا لم يتم القيام بذلك، فلن تكون إطارات الإيثرنت التي تحتوي على بيانات TCP أكبر من 1500 بايت. يجب ضبط TCP MSS إلى 120 بايت أقل من أقل إعداد ل MTU للواجهة. إذا كانت وحدة الحد الأقصى للنقل (MTU) للواجهة هي 9216، فيجب تكوين وحدة MSS إلى 9096. يمكن القيام بذلك باستخدام أمر sysopt connection tcpmss.
لا يتيح أمر حجز الإطارات Jumbo فقط نقل رؤوس الوصلات، ولكن أيضا الاستقبال. بدون تمكين دعم الإطارات كبيرة الحجم، سيقوم ASA بإسقاط الحزم كبيرة جدا. ويتم حساب هذه الانخفاضات تحت إحصائية "عملاقة" في خرج show interface:
ASA# show interface Interface GigabitEthernet0/0 "inside", is up, line protocol is up Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps) Input flow control is unsupported, output flow control is on MAC address 5475.d029.8916, MTU 1500 IP address 10.36.29.1, subnet mask 255.255.0.0 499 packets input, 52146 bytes, 0 no buffer Received 63 broadcasts, 0 runts, 5 giants <---- HERE
لتلقي إطار كبير الحجم، يجب أن يحتوي ASA على أمر حجز كبير الحجم، ولكنه لا يحتاج بالضرورة إلى زيادة MTU (لأن ذلك يؤثر فقط على الحد الأقصى لحجم الإرسال للواجهة، وليس الاستقبال).
إذا تلقى ASA إطار jumbo بنجاح، لكن ذلك الإطار يكون عندئذ أكبر من أن يبث واجهة المخرج، تلك الحالات يمكن أن تحدث طبقا لإعداد البت Not Fragment (DF) في رأس IP للحزمة:
إذا تم تعيين بت DF في رأس IP، سيقوم ASA بإسقاط الحزمة وإرسال رسالة من نوع ICMP رقم 3 ورمز 4 إلى المرسل.
إذا لم يتم تعيين بت DF، فإن ASA سيقوم بتجزئة الحزمة وبث الأجزاء خارج واجهة المخرج.
هذه جلسة ASA CLI التي تستخدم التقاط الحزمة لإظهار ASA الذي يستقبل إطار jumbo على الواجهة الداخلية (بحجم 4014 بايت) الذي هو أكبر من أن يبث واجهة الخروج (الخارج به MTU 1500). في هذه الحالة لا يتم تعيين بت DF في رأس IP. تمت تجزئة الحزمة على مخرج الواجهة الخارجية:
ASA# show cap in detail 20 packets captured 1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (ttl 255, id 48872) 2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: (frag 48872:1480@1480+) (ttl 255) 4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6: (frag 48872:1020@2960) (ttl 255) ... ASA# show cap out detail 30 packets captured 1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: (frag 48872:1480@1480+) (ttl 255) 3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1: (frag 48872:1020@2960) (ttl 255) 4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: (frag 48872:1480@1480+) (ttl 255) 6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142: (frag 48872:1020@2960) (ttl 255)
هذا مثال يظهر ASA يستلم إطار jumbo على الواجهة الداخلية كبير جدا أن يبث خارج قارن مخرج، والحزمة لها DF بت مجموعة. يتم إسقاط الحزمة ويتم إرسال رسالة خطأ ICMP النوع 3 الرمز 4 نحو المضيف الداخلي:
ASA# show cap in detail 6 packets captured 1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48887) 2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48888) 4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48889) 5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48890) 6 packets shown ASA# show cap out detail 0 packet captured 0 packet shown ASA#
المراجعة | تاريخ النشر | التعليقات |
---|---|---|
1.0 |
01-Oct-2012 |
الإصدار الأولي |