ASA : Réception et transmission de trames Ethernet jumbo

Options de téléchargement

  • PDF     (154.5 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (85.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (70.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:1 octobre 2012
ID du document:115003

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document fournit des informations sur la façon dont l'appliance de sécurité adaptatif (ASA) reçoit et transmet les trames jumbo ethernet.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Prise en charge des trames Jumbo sur l'ASA

L'activation de la prise en charge des trames jumbo nécessite des versions spécifiques du matériel et des logiciels ASA, ainsi qu'un redémarrage. Pour plus d'informations sur les modèles et versions pris en charge, ainsi que sur la façon d'activer les trames jumbo, reportez-vous à la section Guide de configuration ASA 8.4, Activation de la prise en charge des trames jumbo (modèles pris en charge).

Notez qu'après avoir activé la prise en charge des trames jumbo et redémarré l'ASA, vous devez prendre les mesures suivantes pour utiliser pleinement les trames jumbo :

  • Le MTU des interfaces ASA doit être augmenté avec la commande mtu en mode de sous-configuration d'interface afin que l'ASA puisse transmettre des trames jumbo.

  • L'ASA doit être configuré pour ajuster le MSS TCP pour les connexions TCP à une valeur supérieure à la valeur par défaut. Si ce n’est pas le cas, les trames Ethernet contenant des données TCP ne peuvent pas dépasser 1 500 octets. Le MSS TCP doit être réglé sur 120 octets de moins que le paramètre le plus bas pour le MTU de l'interface. Si l'interface MTU est 9216, alors le MSS doit être configuré sur 9096. Ceci peut être fait avec la commande sysopt connection tcpmss.

Que se passe-t-il si l'ASA n'est pas configuré pour les trames jumbo et reçoit une trame jumbo ?

La commande jumbo frame-reservation permet non seulement la transmission de jumbos, mais aussi la réception. Sans la prise en charge de trames jumbo activée, l'ASA abandonne les paquets trop volumineux. Ces gouttes sont comptées sous la statistique « géant » dans la sortie show interface : 

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

Que se passe-t-il si l'ASA reçoit une trame jumbo mais tente de l'envoyer à une interface avec un MTU inférieur ?

Pour recevoir une trame jumbo, l'ASA doit avoir la commande de réservation de trame jumbo, mais il n'est pas nécessaire d'augmenter la MTU (car cela affecte uniquement la taille de transmission maximale pour l'interface, pas la réception).

Si l'ASA reçoit avec succès une trame jumbo, mais que cette trame est alors trop volumineuse pour transmettre l'interface de sortie, ces situations peuvent se produire selon le paramètre du bit DF (Don't Fragment) dans l'en-tête IP du paquet :

  • Si le bit DF est défini dans l'en-tête IP, l'ASA abandonne le paquet et renvoie un message ICMP de type 3 code 4 à l'expéditeur.

  • Si le bit DF n’est pas défini, l’ASA fragmentera le paquet et transmettra les fragments à l’interface de sortie.

Il s'agit d'une session CLI ASA qui utilise des captures de paquets pour montrer à l'ASA recevant une trame jumbo sur l'interface interne (d'une taille de 4 014 octets) qui est trop grande pour transmettre en sortie (l'interface externe a un MTU de 1 500). Dans ce cas, le bit DF n'est pas défini dans l'en-tête IP. Le paquet est fragmenté en sortie de l’interface externe : 

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

Voici un exemple montrant un ASA recevant une trame jumbo sur l'interface interne trop grande pour transmettre l'interface de sortie, et le bit DF du paquet est défini. Le paquet est abandonné et le message d’erreur ICMP de type 3 de code 4 est transmis vers l’hôte interne : 

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
01-Oct-2012
Première publication
TAC Authored

Contribution d’experts de Cisco

  • Jay Johnston
    Cisco TAC Engineer.

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits