ASA8.3问题超出MSS-HTTP客户端无法浏览到某些网站.PDF

ASA 8.3 问题：超出 MSS - HTTP 客户端无法浏 览到某些网站 目录 简介 先决条件 要求 使用的组件 规则 配置 网络图 ASA 8.3 配置 故障排除 解决方法 验证 相关信息 简介 本文档将说明一个在无法通过运行 8.3 版本或更高版本软件的自适应安全设备 (ASA) 访问某些网站 时发生的问题。 ASA 7.0 版本引入了若干项新的安全增强功能，其中一项功能是检查遵循所通告最大分段大小 (MSS) 的 TCP 终端。在正常的 TCP 会话中，客户端会将 SYN 数据包发送到服务器（MSS 包含在 SYN 数据包的 TCP 选项内）。收到 SYN 数据包时，服务器应识别客户端发送的 MSS 值，然后在 SYN-ACK 数据包中发送它自己的 MSS 值。客户端和服务器获悉彼此的 MSS 之后，两个对等体都 不应该向对方发送大于对等体的 MSS 的数据包。 已发现 Internet 上有一些 HTTP 服务器不遵从客户端通告的 MSS。随后，该 HTTP 服务器会将大 于所通告的 MSS 的数据包发送到客户端。在 7.0 版本之前，系统会允许这些数据包通过 ASA。使 用 7.0 软件版本中包含的安全增强功能，默认情况下这些数据包会被丢弃。本文档旨在帮助思科自 适应安全设备管理员诊断此问题，并通过实施解决方法来允许超过 MSS 的数据包通过。 有关运行 8.2 及以前版本软件的思科自适应安全设备 (ASA) 上的相同配置，请参阅 PIX/ASA 7.X 问 题：超出 MSS - HTTP 无法浏览某些网站。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息以运行 8.3 版本软件的思科自适应安全设备 (ASA) 为基础。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 规则 关于文件规则的信息，请参见Cisco技术提示规则。 配置 本部分提供了用于配置本文档所述功能的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可查找有关本文档所用命令的其他信息。 网络图 本文档使用以下网络设置： ASA 8.3 配置 这些配置命令已添加到 ASA 8.3 默认配置中，以允许 HTTP 客户端与 HTTP 服务器通信。 ASA 8.3 配置 ASA(config)#interface Ethernet0 ASA(config-if)#speed 100 ASA(config-if)#duplex full ASA(config-if)#nameif outside ASA(config-if)#security-level 0 ASA(config-if)#ip address 0 ASA(config-if)#exit ASA(config)#interface Ethernet1 ASA(config-if)#speed 100 ASA(config-if)#duplex full ASA(config-if)#nameif inside ASA(config-if)#security-level 100 ASA(config-if)#ip address ASA(config-if)#exit ASA(config)#object network Inside-Network ASA(config- obj)#subnet ASA(config)#nat (inside,outside) source dynamic Inside-Network interface ASA(config)#route outside 1 故障排除 如果无法通过 ASA 访问某个特定的网站，请完成这些步骤以排除故障。您首先需要从 HTTP 连接 获取数据包。为了收集数据包，需要知道 HTTP 服务器和客户端的相关 IP 地址，以及当客户端通 过 ASA 时被转换成的 IP 地址。 在示例网络中，HTTP 服务器地址被指定为 ，HTTP 客户端地址被指定为 ，并 且在数据包离开外部接口时，HTTP 客户端地址会转换为 0。要收集数据包，您既可以 使用思科自适应安全设备 (ASA) 的捕获功能，也可以使用外部数据包捕获功能。如果打算使用捕获 功能，管理员还可以使用 7.0 版本中包含的新捕获功能，该功能允许管理员捕获因 TCP 异常而丢弃 的数据包。 注意：  由于空间限制，这些表格中的部分命令会自动换行到第