PIX/ASA 7.0 の問題:MSS の超過 - HTTP クライアントで一部の Web サイトを表示できない 目次 概要 前提条件 要件 使用するコンポーネント 関連製品 表記法 設定 ネットワーク ダイアグラム PIX セキュリティ アプライアンス 7.0 の設定 トラブルシューティング 回避策 確認 関連情報 概要 このドキュメントでは、7.0 以降のコードが稼働する PIX または Adaptive Security Appliance(ASA; 適応型セキュリティ ア プライアンス)を経由する Web アクセスで、一部の Web サイトにアクセスできない問題について説明します。リリース 7.0 で はいくつかのセキュリティ機能拡張が加えられました。その機能拡張の 1 つである TCP エンドポイントの確認では、通知された Maximum Segment Size(MSS; 最大セグメント サイズ)が遵守されます。通常の TCP セッションでは、クライアントがサーバに SYN パケットを送信する際に、SYN パケットの TCP オプションには MSS が含まれます。サーバは SYN パケットを受信すると、 クライアントから送信された MSS 値を認識し、自身の MSS 値を SYN-ACK パケットで送信します。クライアントとサーバがお互 いの MSS を認識した後は、相手の MSS を超える大きさのパケットは送信できません。ところが、インターネット上にはクライア ントが通知した MSS に従わない HTTP サーバが存在することが検出されています。このような HTTP サーバは、通知された MSS よりも大きいデータ パケットをクライアントに送信します。リリース 7.0 より前のバージョンでは、このようなパケットも PIX セキュリティ アプライアンスを通過できていました。7.0 ソフトウェア リリースではセキュリティの機能拡張により、デフ ォルトではこのようなパケットは廃棄されます。このドキュメントでは、この問題の診断と MSS を超えるパケットを許可するた めの回避策の実装に役立つ、PIX/ASA セキュリティ アプライアンス管理者向けの情報を示します。 前提条件 要件 このドキュメントに関する特別な要件はありません。 使用するコンポーネント このドキュメントの情報は、7.0.1 ソフトウェアが稼働する Cisco PIX 525 セキュリティ アプライアンスに基づくものです。 このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべて のデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼働中である場合には、どのよう な作業についても、その潜在的な影響について確実に理解しておく必要があります。 関連製品 このドキュメントは、次のバージョンのハードウェアとソフトウェアにも適用できます。 リリース 7.0 が稼働する、その他すべての Cisco PIX セキュリティ アプライアンス プラットフォーム。515、515E、およ び 535 などのプラットフォームが含まれます。 すべての Cisco ASA プラットフォーム。5510、5520、および 5540 などのプラットフォームが含まれます。 表記法 ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。 設定 このセクションでは、このドキュメントで説明する機能を設定するために必要な情報について記載しています。 注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool(登録ユーザ専用)を使用してくだ さい。 一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。 ネットワーク ダイアグラム このドキュメントでは、次のネットワーク構成を使用しています。 ネットワーク ダイアグラム ※ 画像をクリックすると、大きく表示されます。 PIX セキュリティ アプライアンス 7.0 の設定 PIX 7.0 のデフォルト設定には次のコンフィギュレーションコマンドが追加されており、HTTP クライアントと HTTP サーバの通 信を許可しています。 PIX 7.0.1 の設定 pixfirewall(config)#interface Ethernet0 pixfirewall(config-if)#speed 100 pixfirewall(config-if)#duplex full pixfirewall(config-if)#nameif outside pixfirewall(config-if)#security-level 0 pixfirewall(config-if)#ip address 192.168.9.30 255.255.255.0 pixfirewall(config-if)#exit pixfirewall(config)#interface Ethernet1 pixfirewall(config-if)#speed 100 pixfirewall(config-if)#duplex full pixfirewall(config-if)#nameif inside pixfirewall(config-if)#security-level 100 pixfirewall(config-if)#ip address 10.0.0.1 255.255.255.0 pixfirewall(config-if)#exit pixfirewall(config)#global (outside) 1 interface pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0 pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1 トラブルシューティング 特定の Web サイトに PIX/ASA セキュリティ アプライアンス経由でアクセスできない場合は、次の手順を実行して問題のトラブ ルシューティングを行います。最初に、HTTP 接続のパケットをキャプチャします。パケットを収集するには、HTTP サーバとクラ イアントの関連 IP アドレス、および PIX セキュリティ アプライアンス通過時のクライアントの変換後の IP アドレスを確認す る必要があります。この例のネットワークでは、HTTP サーバのアドレスが 192.168.9.2、HTTP クライアントのアドレスが 10.0.0.2 で、パケットが外部インターネットから送出される際 HTTP クライアントのアドレスが 192.168.9.30 に変換されてい ます。PIX/ASA セキュリティ アプライアンスのキャプチャ機能を使用してパケットを収集することもできますが、外部のパケッ ト キャプチャを使用しても構いません。キャプチャ機能を使用する場合、管理者はリリース 7.0 に含まれている新しいキャプチ ャ機能も使用できます。この機能では、TCP の異常により廃棄されたパケットもキャプチャできます。 注:次の表内のコマンドの中には、スペースの関係上 2 行にわたって表記されているものがあります。 1. 外部インターフェイスと内部インターフェイスで入出力されるパケットを識別する、アクセス リストのペアを定義します。 パケット キャプチャのためのアクセス リストの設定 pixfirewall(config)#access-list capture-list-in line 1 permitip host 10.0.0.2 host 192.168.9.2 pixfirewall(config)#access-list capture-list-in line 2 permit ip host 192.168.9.2 host 10.0.0.2 pixfirewall(config)#access-list capture-list-out line 1 permit ip host 192.168.9.30 host 192.168.9.2 pixfirewall(config)#access-list capture-list-out line 2 permit ip host 192.168.9.2 host 192.168.9.30 2. 内部インターフェイスと外部インターフェイスでキャプチャ機能を有効にします。TCP 特有の MSS 超過パケットのキャプチ ャも有効にします。 パケット キャプチャのためのキャプチャ設定 pixfirewall(config)#capture capture-outside access-list capture-list-out packet-length 1518 interface outside pixfirewall(config)#capture capture-inside access-list capture-list-in packet-length 1518 interface inside pixfirewall(config)#capture mss-capture type asp-drop tcp-mss-exceeded packet-length 1518 3. PIX セキュリティ アプライアンスで Accelerated Security Path(ASP; 高速セキュリティ パス)関連のカウンタを消去し ます。 ASP 廃棄統計情報の消去 pixfirewall(config)#clear asp drop 4. ネットワーク上のホストに送信されるデバッグ レベルのトラップ syslog を有効にします。 トラップ ロギングの有効化 pixfirewall(config)#logging on pixfirewall(config)#logging host inside 10.0.0.2 pixfirewall(config)#logging trap debug 5. HTTP クライアントから、問題のある HTTP サーバとの HTTP セッションを開始します。 接続が失敗した後に、sylog の出力と次のコマンドの出力を収集します。 show capture capture-inside show capture capture-outside show capture mss-capture show asp drop 接続に失敗したときの Syslog %PIX-6-609001: Built local-host inside:10.0.0.2 %PIX-6-609001: Built local-host outside:192.168.9.2 %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to outside:192.168.9.30/1024 %PIX-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80 (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024) %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/ !--!--!--!--!--!--!--!-!--!--- 正常な状態では、HTTP サーバから Web コンテンツを取得した直後に、 TCP 接続の切断が記録されます。 問題が発生している場合、 HTTP サーバからのデータ パケットが 外部インターフェイスで廃棄され、どちらか一方が 接続をリセットするまで、または、PIX セキュリティ アプライアンスの 接続アイドル タイマーが切れるまで、接続が存続します。 そのため、302014 syslog メッセージ(TCP ティアダウン)が 直後には記録されません。 !--!--!--!--- PIX/ASA リリース 7.0.2 以降の場合、PIX および ASA セキュリティ アプライアンスは、通知された MSS を超えるパケットを 受信したときに syslog を発行します。syslog は デフォルトで警告レベルに設定されており、次のような形式です。 %PIX-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440 接続に失敗したときの show コマンドの出力 pixfirewall#show capture capture-inside 6 packets captured 1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80: S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp 110211948 0,nop,wscale 0> !--- パケット #1 でクライアントから通知された MSS は 460。 2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565: S 1460644203:1460644203(0) ack 3965932252 win 8192 <mss 1380> 3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: . ack 1460644204 win 1840 4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80: P 3965932252:3965932351(99) ack 1460644204 win 1840 5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 8192 6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 65340 6 packets shown pixfirewall# pixfirewall# pixfirewall#show capture capture-outside 16 packets captured 1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80: S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp 110211948 0,nop,wscale 0> !--- パケット #1 でクライアントから通知された MSS は 460。 2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024: S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460> 3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: . ack 314834195 win 1840 4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80: P 473738108:473738207(99) ack 314834195 win 1840 5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 8192 6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 65340 !--!--!--!--!--- パケット 7 14 のパケット長は 460 を超えています。 パケット 7 14 は capture-inside トレースでは確認されません。 つまり、これらのパケットは PIX セキュリティ アプライアンスで廃棄されたということです。 パケット 7 14 は show capture mss-capture コマンドの 出力にも表示されます。 7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024: . 314834195:314835647(1452) ack 473738207 win 65340 8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024: P 314835647:314837099(1452) ack 473738207 win 65340 9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024: . 314837099:314838551(1452) ack 473738207 win 65340 10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024: P 314838551:314840003(1452) ack 473738207 win 65340 11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024: P 314840003:314841035(1032) ack 473738207 win 65340 12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024: P 314834195:314835647(1452) ack 473738207 win 65340 13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024: P 314834195:314835647(1452) ack 473738207 win 65340 14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024: P 314834195:314835647(1452) ack 473738207 win 65340 15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024: F 314841035:314841035(0) ack 473738207 win 65340 16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80: P ack 314834195 win 1840 16 packets shown pixfirewall# pixfirewall# pixfirewall(config)#show capture mss-capture 8 packets captured 1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024: . 314834195:314835647(1452) ack 473738207 win 65340 2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024: P 314835647:314837099(1452) ack 473738207 win 65340 3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024: . 314837099:314838551(1452) ack 473738207 win 65340 4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024: P 314838551:314840003(1452) ack 473738207 win 65340 5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024: P 314840003:314841035(1032) ack 473738207 win 65340 6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024: P 314834195:314835647(1452) ack 473738207 win 65340 7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024: P 314834195:314835647(1452) ack 473738207 win 65340 8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024: P 314834195:314835647(1452) ack 473738207 win 65340 8 packets shown pixfirewall# pixfirewall# pixfirewall#show asp drop Frame drop: TCP MSS was too large 8 Flow drop: pixfirewall# !--!--!--!--- show asp drop コマンドの出力から、 8 個のパケットが廃棄されたことがわかります。 TCP MSS が大きすぎることが原因です。これは、パケット キャプチャの情報の有効性を 裏付けています。 回避策 PIX/ASA セキュリティ アプライアンスがクライアントから通知された MSS 値を超過するパケットを廃棄していることがわかった ので、回避策を実装します。クライアント側でバッファ オーバーフローが発生する可能性があるため、このようなパケットはク ライアントに到達させないほうがよい場合もあります。その点を考慮したうえで、PIX/ASA セキュリティ アプライアンスでこれ らのパケットを通過させるには、次の回避策を実施します。リリース 7.0 の新機能である Modular Policy Framework(MPF)を 使用すると、PIX セキュリティ アプライアンスでこれらのパケットを通過させることができます。このドキュメントでは MPF に ついては詳しく説明しませんが、この問題を回避するために使用する設定エンティティを提示します。MPF およびこのセクション に記載されているコマンドの詳細については、『PIX 7.0 コンフィギュレーション ガイド』および『PIX 7.0 コマンド リファレ ンス』を参照してください。 回避策には、アクセス リストによる HTTP クライアントと HTTP サーバの識別が含まれます。アクセス リストが定義されると、 クラスマップが作成され、そのクラスマップにアクセス リストが割り当てられます。次に、tcp マップが設定され、MSS を超え るパケットを許可するオプションが有効にされます。tcp マップとクラスマップが定義されると、それらのマップを新規または既 存のポリシーマップに追加できます。次にポリシーマップがセキュリティポリシーに割り当てられます。コンフィギュレーション モードで service-policy コマンドを使用し、外部インターフェイスでポリシーマップをグローバルにアクティブ化します。これ らの設定パラメータが PIX 7.0 の設定リストに追加されます。この設定例では、http-map1 という名前のポリシーマップの作成 後、そのポリシーマップにクラスマップが追加されています。 MSS を超過するパケットを許可するための MPF の設定 pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2 pixfirewall(config)# pixfirewall#configure terminal pixfirewall(config)# pixfirewall(config)#class-map http-map1 pixfirewall(config-cmap)#match access-list http-list2 pixfirewall(config-cmap)#exit pixfirewall(config)#tcp-map mss-map pixfirewall(config-tcp-map)#exceed-mss allow pixfirewall(config-tcp-map)#exit pixfirewall(config)#policy-map http-map1 pixfirewall(config-pmap)#class http-map1 pixfirewall(config-pmap-c)#set connection advanced-options mss-map pixfirewall(config-pmap-c)#exit pixfirewall(config-pmap)#exit pixfirewall(config)#service-policy http-map1 interface outside pixfirewall# 設定パラメータが追加されると、クライアントから通知された MSS を超過する 192.168.9.2 からのパケットが PIX セキュリテ ィ アプライアンスの通過を許可されます。クラスマップで使用されたアクセス リストは、192.168.9.2 へのアウトバウンド ト ラフィックを識別するためのものである点に注意してください。アウトバウンド トラフィックが検査され、インスペクション エ ンジンが発信 SYN パケットから MSS を抽出します。そのため、SYN パケットの方向でアクセス リストを設定することが必須で す。より広範囲な規則が必要な場合は、このセクションにアクセス リスト文を、すべてを許可するアクセス リスト(accesslist http-list2 permit ip any any や access-list http-list2 permit tcp any any など)に置き換えます。また、TCP MSS に大きな値を設定すると、VPN トンネルの通信が遅くなる可能性があるので注意してください。TCP MSS を低くすると通信効率を 上げることができます。 確認 このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示します。 「トラブルシューティング」のセクションの手順を繰り返し、設定変更により期待した結果が得られたかどうかを確認します。 接続に成功したときの Syslog %PIX-6-609001: Built local-host inside:10.0.0.2 %PIX-6-609001: Built local-host outside:192.168.9.2 %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798 to outside:192.168.9.30/1025 %PIX-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80 (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025) %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/ %PIX-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs !--- 接続が確立され、Web コンテンツの取得後 !--- すぐに接続が切断されます。 接続に成功したときの show コマンドの出力 pixfirewall# pixfirewall#show capture capture-inside 21 packets captured 1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S 751781751:751781751(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0> !--- パケット #1 でクライアントから通知された MSS は 460。 !--- しかし、回避策の実施により、パケット 7、9、11、13、および 15 が !--- MSS が 460 を超えているにもかかわらず、inside トレースに表示されています。 2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380> 3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305880752 win 1840 4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P 751781752:751781851(99) ack 1305880752 win 1840 5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 8192 6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 25840 7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: . 1305880752:1305882112(1360) ack 751781851 win 25840 8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305882112 win 4080 9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P 1305882112:1305883472(1360) ack 751781851 win 25840 10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305883472 win 6800 11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: . 1305883472:1305884832(1360) ack 751781851 win 25840 12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305884832 win 9520 13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P 1305884832:1305886192(1360) ack 751781851 win 25840 14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305886192 win 12240 15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: . 1305886192:1305887552(1360) ack 751781851 win 25840 16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P 1305887552:1305887593(41) ack 751781851 win 25840 17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887552 win 14960 18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887593 win 14960 19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F 751781851:751781851(0) ack 1305887593 win 14960 20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F 1305887593:1305887593(0) ack 751781852 win 8192 21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887594 win 14960 21 packets shown pixfirewall# pixfirewall# pixfirewall#show capture capture-outside 21 packets captured 1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80: S 1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0> 2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024: S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460> 3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: . ack 466908059 win 1840 4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P 1465558596:1465558695(99) ack 466908059 win 1840 5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 8192 6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 25840 7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: . 466908059:466909419(1360) ack 1465558695 win 25840 8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: . ack 466909419 win 4080 9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P 466909419:466910779(1360) ack 1465558695 win 25840 10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: . ack 466910779 win 6800 11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: . 466910779:466912139(1360) ack 1465558695 win 25840 12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: . ack 466912139 win 9520 13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P 466912139:466913499(1360) ack 1465558695 win 25840 14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P 466914859:466914900(41) ack 1465558695 win 25840 15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: . ack 466913499 win 12240 16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: . 466913499:466914859(1360) ack 1465558695 win 25840 17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914859 win 14960 18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914900 win 14960 19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F 1465558695:1465558695(0) ack 466914900 win 14960 20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F 466914900:466914900(0) ack 1465558696 win 8192 21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914901 win 14960 21 packets shown pixfirewall# pixfirewall(config)#show capture mss-capture 0 packets captured 0 packets shown pixfirewall# pixfirewall#show asp drop Frame drop: Flow drop: pixfirewall# !--- show capture mss-capture および !--- show asp drop で、パケットの廃棄がないことが確認されました。 関連情報 Cisco PIX Firewall ソフトウェア(英語) Cisco Secure PIX ファイアウォール コマンド リファレンス セキュリティ製品に関する Field Notice(PIX を含む)(英語) Requests for Comments(RFC) 1992 - 2010 Cisco Systems, Inc. All rights reserved. Updated: October 09,2006 Document ID: 65436
© Copyright 2024 ExpyDoc