Ce document fournit des informations sur la façon dont l'appliance de sécurité adaptatif (ASA) reçoit et transmet les trames jumbo ethernet.
Aucune spécification déterminée n'est requise pour ce document.
Ce document n'est pas limité à des versions de matériel et de logiciel spécifiques.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
L'activation de la prise en charge des trames jumbo nécessite des versions spécifiques du matériel et des logiciels ASA, ainsi qu'un redémarrage. Pour plus d'informations sur les modèles et versions pris en charge, ainsi que sur la façon d'activer les trames jumbo, reportez-vous à la section Guide de configuration ASA 8.4, Activation de la prise en charge des trames jumbo (modèles pris en charge).
Notez qu'après avoir activé la prise en charge des trames jumbo et redémarré l'ASA, vous devez prendre les mesures suivantes pour utiliser pleinement les trames jumbo :
Le MTU des interfaces ASA doit être augmenté avec la commande mtu en mode de sous-configuration d'interface afin que l'ASA puisse transmettre des trames jumbo.
L'ASA doit être configuré pour ajuster le MSS TCP pour les connexions TCP à une valeur supérieure à la valeur par défaut. Si ce n’est pas le cas, les trames Ethernet contenant des données TCP ne peuvent pas dépasser 1 500 octets. Le MSS TCP doit être réglé sur 120 octets de moins que le paramètre le plus bas pour le MTU de l'interface. Si l'interface MTU est 9216, alors le MSS doit être configuré sur 9096. Ceci peut être fait avec la commande sysopt connection tcpmss.
La commande jumbo frame-reservation permet non seulement la transmission de jumbos, mais aussi la réception. Sans la prise en charge de trames jumbo activée, l'ASA abandonne les paquets trop volumineux. Ces gouttes sont comptées sous la statistique « géant » dans la sortie show interface :
ASA# show interface Interface GigabitEthernet0/0 "inside", is up, line protocol is up Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps) Input flow control is unsupported, output flow control is on MAC address 5475.d029.8916, MTU 1500 IP address 10.36.29.1, subnet mask 255.255.0.0 499 packets input, 52146 bytes, 0 no buffer Received 63 broadcasts, 0 runts, 5 giants <---- HERE
Pour recevoir une trame jumbo, l'ASA doit avoir la commande de réservation de trame jumbo, mais il n'est pas nécessaire d'augmenter la MTU (car cela affecte uniquement la taille de transmission maximale pour l'interface, pas la réception).
Si l'ASA reçoit avec succès une trame jumbo, mais que cette trame est alors trop volumineuse pour transmettre l'interface de sortie, ces situations peuvent se produire selon le paramètre du bit DF (Don't Fragment) dans l'en-tête IP du paquet :
Si le bit DF est défini dans l'en-tête IP, l'ASA abandonne le paquet et renvoie un message ICMP de type 3 code 4 à l'expéditeur.
Si le bit DF n’est pas défini, l’ASA fragmentera le paquet et transmettra les fragments à l’interface de sortie.
Il s'agit d'une session CLI ASA qui utilise des captures de paquets pour montrer à l'ASA recevant une trame jumbo sur l'interface interne (d'une taille de 4 014 octets) qui est trop grande pour transmettre en sortie (l'interface externe a un MTU de 1 500). Dans ce cas, le bit DF n'est pas défini dans l'en-tête IP. Le paquet est fragmenté en sortie de l’interface externe :
ASA# show cap in detail 20 packets captured 1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (ttl 255, id 48872) 2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6: (frag 48872:1480@1480+) (ttl 255) 4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6: (frag 48872:1020@2960) (ttl 255) ... ASA# show cap out detail 30 packets captured 1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1: (frag 48872:1480@1480+) (ttl 255) 3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1: (frag 48872:1020@2960) (ttl 255) 4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142: (frag 48872:1480@1480+) (ttl 255) 6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142: (frag 48872:1020@2960) (ttl 255)
Voici un exemple montrant un ASA recevant une trame jumbo sur l'interface interne trop grande pour transmettre l'interface de sortie, et le bit DF du paquet est défini. Le paquet est abandonné et le message d’erreur ICMP de type 3 de code 4 est transmis vers l’hôte interne :
ASA# show cap in detail 6 packets captured 1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48887) 2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48888) 4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48889) 5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6: icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1: icmp: echo request (DF) (ttl 255, id 48890) 6 packets shown ASA# show cap out detail 0 packet captured 0 packet shown ASA#
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
01-Oct-2012 |
Première publication |