ASA:점보 이더넷 프레임 수신 및 전송

다운로드 옵션

  • PDF     (141.8 KB)
    다양한 디바이스에서 Adobe Reader로 보기
  • ePub     (80.2 KB)
    iPhone, iPad, Android, Sony Reader 또는 Windows Phone의 다양한 앱에서 보기
  • Mobi (Kindle)     (64.9 KB)
    Kindle 디바이스에서 보기 또는 다양한 디바이스의 Kindle 앱에서 보기
업데이트:2012년 10월 1일
문서 ID:115003

편견 없는 언어

본 제품에 대한 문서 세트는 편견 없는 언어를 사용하기 위해 노력합니다. 본 설명서 세트의 목적상, 편견 없는 언어는 나이, 장애, 성별, 인종 정체성, 민족 정체성, 성적 지향성, 사회 경제적 지위 및 교차성에 기초한 차별을 의미하지 않는 언어로 정의됩니다. 제품 소프트웨어의 사용자 인터페이스에서 하드코딩된 언어, RFP 설명서에 기초한 언어 또는 참조된 서드파티 제품에서 사용하는 언어로 인해 설명서에 예외가 있을 수 있습니다. 시스코에서 어떤 방식으로 포용적인 언어를 사용하고 있는지 자세히 알아보세요.

이 번역에 관하여

Cisco는 전 세계 사용자에게 다양한 언어로 지원 콘텐츠를 제공하기 위해 기계 번역 기술과 수작업 번역을 병행하여 이 문서를 번역했습니다. 아무리 품질이 높은 기계 번역이라도 전문 번역가의 번역 결과물만큼 정확하지는 않습니다. Cisco Systems, Inc.는 이 같은 번역에 대해 어떠한 책임도 지지 않으며 항상 원본 영문 문서(링크 제공됨)를 참조할 것을 권장합니다.

소개

이 문서에서는 ASA(Adaptive Security Appliance)가 점보 이더넷 프레임을 수신하고 전송하는 방법에 대해 설명합니다.

사전 요구 사항

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

표기 규칙

문서 규칙에 대한 자세한 내용은 Cisco 기술 팁 표기 규칙을 참고하십시오.

ASA에서 점보 프레임 지원

점보 프레임 지원을 활성화하려면 특정 ASA(Adaptive Security Appliance) 하드웨어 및 소프트웨어 버전과 재부팅이 필요합니다.지원되는 모델 및 버전 및 점보 프레임을 활성화하는 방법에 대한 자세한 내용은 ASA 8.4 컨피그레이션 가이드 섹션 Enabling Jumbo Frame Support(지원되는 모델)를 참조하십시오.

점보 프레임 지원을 활성화하고 ASA를 재부팅한 후 점보 프레임을 완전히 사용하려면 다음 추가 작업을 수행해야 합니다.

  • ASA가 점보 프레임을 전송하도록 인터페이스 하위 컨피그레이션 모드에서 mtu 명령을 사용하여 ASA 인터페이스의 MTU를 늘려야 합니다.

  • TCP 연결의 TCP MSS를 기본값보다 높은 값으로 조정하도록 ASA를 구성해야 합니다.이 작업을 수행하지 않으면 TCP 데이터가 포함된 이더넷 프레임이 1500바이트보다 크지 않습니다.TCP MSS는 인터페이스 MTU의 최저 설정보다 120바이트 미만으로 조정해야 합니다.인터페이스 MTU가 9216이면 MSS를 9096으로 구성해야 합니다.이 작업은 sysopt connection tcpmss 명령으로 수행할 수 있습니다.

ASA가 점보 프레임에 대해 구성되지 않았고 점보 프레임을 수신하는 경우 어떻게 합니까?

jumbo frame-reservation 명령은 점보의 전송뿐만 아니라 수신도 허용합니다.점보 프레임 지원이 활성화되지 않으면 ASA는 너무 큰 패킷을 삭제합니다.이러한 삭제는 show interface 출력의 "giant" 통계에서 계산됩니다. 

ASA# show interface
Interface GigabitEthernet0/0 "inside", is up, line protocol is up
  Hardware is bcm56801 rev 01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is on
        MAC address 5475.d029.8916, MTU 1500
        IP address 10.36.29.1, subnet mask 255.255.0.0
        499 packets input, 52146 bytes, 0 no buffer
        Received 63 broadcasts, 0 runts, 5 giants            <---- HERE

ASA가 점보 프레임을 성공적으로 수신했지만 MTU가 낮은 인터페이스로 전송하려고 시도하면 어떻게 됩니까?

점보 프레임을 수신하려면 ASA에 jumbo-frame reservation 명령이 있어야 하지만 MTU를 늘릴 필요는 없습니다. 이는 수신이 아니라 인터페이스의 최대 전송 크기만 영향을 주기 때문입니다.

ASA가 점보 프레임을 성공적으로 수신했지만 해당 프레임이 너무 커서 이그레스 인터페이스를 전송하지 못할 경우 패킷의 IP 헤더에서 DF(Don't Fragment) 비트의 설정에 따라 이러한 상황이 발생할 수 있습니다.

  • IP 헤더에 DF 비트가 설정된 경우 ASA는 패킷을 삭제하고 ICMP 유형 3 코드 4 메시지를 발신자에게 다시 전송합니다.

  • DF 비트가 설정되지 않은 경우 ASA는 패킷을 프래그먼트화하고 프래그먼트를 이그레스 인터페이스에서 전송합니다.

이는 패킷 캡처를 사용하여 내부 인터페이스에서 ASA가 점보 프레임을 수신하는 것을 보여주는 ASA CLI 세션입니다(크기가 4014바이트). 이는 너무 커서 송신 인터페이스(외부 MTU는 1500바이트)를 전송할 수 없습니다. 이 경우 IP 헤더에 DF 비트가 설정되지 않습니다.패킷은 외부 인터페이스에서 이그레스(egress)로 프래그먼트화됩니다. 

ASA# show cap in detail

20 packets captured

   1: 11:30:30.308913 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (ttl 255, id 48872) 
   2: 11:30:30.309920 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   3: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1514: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1480@1480+) (ttl 255) 
   4: 11:30:30.309935 5475.d029.8916 0017.0f17.af80 0x0800 1054: 10.23.124.1 > 10.99.103.6:
 (frag 48872:1020@2960) (ttl 255) 
...
ASA# show cap out detail

30 packets captured

   1: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 icmp: echo request (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   2: 11:30:30.309035 5475.d029.8917 001a.a185.847f 0x0800 1514: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1480@1480+) (ttl 255) 
   3: 11:30:30.309050 5475.d029.8917 001a.a185.847f 0x0800 1054: 10.23.124.142 > 10.23.124.1:
 (frag 48872:1020@2960) (ttl 255) 
   4: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 icmp: echo reply (wrong icmp csum) (frag 48872:1480@0+) (ttl 255) 
   5: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1514: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1480@1480+) (ttl 255) 
   6: 11:30:30.309859 001a.a185.847f 5475.d029.8917 0x0800 1054: 10.23.124.1 > 10.23.124.142:
 (frag 48872:1020@2960) (ttl 255)

이는 ASA가 내부 인터페이스에서 너무 큰 점보 프레임을 수신하여 이그레스 인터페이스를 전송할 수 없으며 패킷에 DF 비트가 설정되어 있음을 보여주는 예입니다.패킷이 삭제되고 ICMP 유형 3 코드 4 오류 메시지가 내부 호스트로 전송됩니다. 

ASA# show cap in detail

6 packets captured

   1: 11:42:10.147422 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48887)
 
   2: 11:42:10.147605 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 56194) 
   3: 11:42:10.150199 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48888)
 
   4: 11:42:12.146476 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48889)
 
   5: 11:42:12.146553 5475.d029.8916 0017.0f17.af80 0x0800 70: 10.99.29.1 > 10.99.103.6:
 icmp: 10.23.124.1 unreachable - need to frag (mtu 1500) (ttl 72, id 45247) 
   6: 11:42:12.152427 0017.0f17.af80 5475.d029.8916 0x0800 4014: 10.99.103.6 > 10.23.124.1:
 icmp: echo request (DF) (ttl 255, id 48890)
 
6 packets shown
ASA# show cap out detail

0 packet captured

0 packet shown
ASA#

관련 정보

TAC Authored

Cisco 엔지니어가 작성

  • Jay Johnston
    Cisco TAC Engineer.

이 문서가 도움이 되셨습니까?

Feedback피드백

지원 문의

이 문서가 적용되는 제품