[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip address negotiated
ip nat outside
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap callin
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
ip nat inside
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip nat inside source list 10 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 1
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialer
ialer0
PPPoE Encapsulation : Enabled
IP address :Negotiated
AUTHENTICATION:CHAP
Username :fdl-111-222
Password :******
PAT :
Inside Interface :FastEthernet0/1
Outside Interfaceialer0
Default Route:
Destination Prefix: 0.0.0.0
Destination Prefix Mask: 0.0.0.0
Forwarding Interface (Exit Interface)ialer0[/TD]
[/TR]
[/TABLE]
[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip address dhcp client-id FastEthernet0/0
ip nat outside
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap callin
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
ip nat inside
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip nat inside source list 10 interface Dialer0 overload
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialerialer0
PPPoE Encapsulation : Enabled
IP addressynamic (DHCP Client)
AUTHENTICATION:CHAP
Username :fdl-111-222
Password :******
PAT :
Inside Interface :FastEthernet0/1
Outside Interfaceialer0[/TD]
[/TR]
[/TABLE]
[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip address 200.200.200.2 255.255.255.252
ip nat outside
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap callin
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
ip nat inside
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip nat inside source list 10 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 1
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialerialer0
PPPoE Encapsulation : Enabled
IP address :Static
IP address :200.200.200.2
Subnet mask :255.255.255.252
AUTHENTICATION:CHAP
Username :fdl-111-222
Password :******
PAT :
Inside Interface :FastEthernet0/1
Outside Interfaceialer0
Default Route:
Destination Prefix: 0.0.0.0
Destination Prefix Mask: 0.0.0.0
Forwarding Interface (Exit Interface)ialer0[/TD]
[/TR]
[/TABLE]
[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip address 200.200.200.2 255.255.255.252
ip nat outside
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap pap callin
ppp pap sent-username fdl-111-222 password 0 ******
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
ip nat inside
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip nat inside source list 10 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 200.200.200.1 1
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialerialer0
PPPoE Encapsulation : Enabled
IP address :Static
IP address :200.200.200.2
Subnet mask :255.255.255.252
AUTHENTICATION:CHAP and PAP
Username :fdl-111-222
Password :******
PAT :
Inside Interface :FastEthernet0/1
Outside Interfaceialer0
Default Route:
Destination Prefix: 0.0.0.0
Destination Prefix Mask: 0.0.0.0
Forwarding IP address (Exit Interface):200.200.200.1[/TD]
[/TR]
[/TABLE]
[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip unnumbered FastEthernet0/1
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap pap callin
ppp pap sent-username fdl-111-222 password 0 ******
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip route 0.0.0.0 0.0.0.0 Dialer0 1
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialerialer0
PPPoE Encapsulation : Enabled
IP address :Unnumbered to FastEthernet0/1
AUTHENTICATION:CHAP and PAP
Username :fdl-111-222
Password :******
Default Route:
Destination Prefix: 0.0.0.0
Destination Prefix Mask: 0.0.0.0
Forwarding Interface (Exit Interface)ialer0[/TD]
[/TR]
[/TABLE]
==============================================
Tình hình là sau khi config xong, chạy ok chỉ trừ trang web của ngân hàng anz, không vào được http://www.anz.com http://www.anz.com.au, kêu thằng bạn nó test ở cty của nó cũng cofig cisco router cho FTTH của FPT thì nó cũng không vào được. Nhưng khi config trên modem bình thường thì vào được trang của ngân hàng anz.com. Trang anz.com cấm ping, tracert.
=================================================
Nguyên nhân & cách sử lý:
Dưới đây là mô tả giúp các bạn dễ hiểu hơn ip tcp adjust-mss dùng làm cái gì.
Khi một user yêu cầu đến một webserver, tiến trình thương lượng xảy ra. Trong quá trình thương lượng này bao gồm cả thương lượng MTU.
Vì PC thương lượng và mặc định MTU của PC là 1500, nên webserver cũng thương lượng MTU size là 1500.
Vì thế, không quan tâm đến kích thước MTU cấu hình trên router, webserver vẫn send packet với MTU kích thước là 1500 bytes.
Đây là lí do tại sao một số trang web không load đầy đủ, là do router fragment IP packet nếu gói này lớn hơn 1492 bytes được gởi đến router [ở đây là do AUC].
Sự fragment này không xảy ra trên hướng trả về đi qua access concentrator(UAC) (cisco 6400 hoặc 7200) (BRAS) [từ PPPoE-client đến BRAS]
Khi UAC nhận packet lớn hơn 1492, packet bị drop và UAC send một ICMP về cho webserver rằng “packet này quá lớn và cần send lại packet với MTU nhỏ hơn”.
Vấn đề đặt ra ở chỗ một số webserver block icmp nên những webserver này vẫn tiếp tục gửi packet với size 1500 cho client.
Kết quả packet này bị drop tại AUC và trang không load được tại PC.
Nếu webserver cấu hình đúng và icmp không bị block thì webserver sẽ đều chỉnh MTU và truyền lại cho tới khi trang web được load đầy đủ.
Chỉ một phần của trang web được load xảy ra khi lúc đầu data packet được send từ webserver dưới 1492 bytes.
Tuy nhiên sau đó packet này lớn hơn 1492 =>packet bị UAC drop.
Server tiếp tục truyền dẫn lại packet quá khổ này và kết quả là chỉ một phần của trang web được load và thông điệp chờ “waiting for relpy…” trong status bar.
Tools:
https://drive.google.com/folderview?id=0Byd5pXHPhHDOR2ZfSEhnMkE3YlE&usp=sharing
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip address negotiated
ip nat outside
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap callin
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
ip nat inside
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip nat inside source list 10 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 1
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialer
ialer0PPPoE Encapsulation : Enabled
IP address :Negotiated
AUTHENTICATION:CHAP
Username :fdl-111-222
Password :******
PAT :
Inside Interface :FastEthernet0/1
Outside Interface
ialer0Default Route:
Destination Prefix: 0.0.0.0
Destination Prefix Mask: 0.0.0.0
Forwarding Interface (Exit Interface)
ialer0[/TD][/TR]
[/TABLE]
[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip address dhcp client-id FastEthernet0/0
ip nat outside
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap callin
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
ip nat inside
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip nat inside source list 10 interface Dialer0 overload
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialer
ialer0PPPoE Encapsulation : Enabled
IP address
ynamic (DHCP Client) AUTHENTICATION:CHAP
Username :fdl-111-222
Password :******
PAT :
Inside Interface :FastEthernet0/1
Outside Interface
ialer0[/TD][/TR]
[/TABLE]
[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip address 200.200.200.2 255.255.255.252
ip nat outside
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap callin
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
ip nat inside
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip nat inside source list 10 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 Dialer0 1
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialer
ialer0PPPoE Encapsulation : Enabled
IP address :Static
IP address :200.200.200.2
Subnet mask :255.255.255.252
AUTHENTICATION:CHAP
Username :fdl-111-222
Password :******
PAT :
Inside Interface :FastEthernet0/1
Outside Interface
ialer0Default Route:
Destination Prefix: 0.0.0.0
Destination Prefix Mask: 0.0.0.0
Forwarding Interface (Exit Interface)
ialer0[/TD][/TR]
[/TABLE]
[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip address 200.200.200.2 255.255.255.252
ip nat outside
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap pap callin
ppp pap sent-username fdl-111-222 password 0 ******
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
ip nat inside
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip nat inside source list 10 interface Dialer0 overload
ip route 0.0.0.0 0.0.0.0 200.200.200.1 1
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialer
ialer0PPPoE Encapsulation : Enabled
IP address :Static
IP address :200.200.200.2
Subnet mask :255.255.255.252
AUTHENTICATION:CHAP and PAP
Username :fdl-111-222
Password :******
PAT :
Inside Interface :FastEthernet0/1
Outside Interface
ialer0Default Route:
Destination Prefix: 0.0.0.0
Destination Prefix Mask: 0.0.0.0
Forwarding IP address (Exit Interface):200.200.200.1[/TD]
[/TR]
[/TABLE]
[TABLE="class: grid, width: 800"]
[TR]
[TD]access-list 10 permit 172.16.5.0 0.0.0.255
interface Dialer0
exit
default interface Dialer0
interface Dialer0
ip mtu 1452
no shutdown
ip unnumbered FastEthernet0/1
dialer pool 1
dialer-group 1
encapsulation ppp
dialer idle-timeout 120
dialer fast-idle 20
ppp authentication chap pap callin
ppp pap sent-username fdl-111-222 password 0 ******
ppp chap hostname fdl-111-222
ppp chap password 0 ******
exit
interface FastEthernet0/1
ip tcp adjust-mss 1412
exit
interface FastEthernet0/0
description $ETH-WAN$
no shutdown
pppoe-client dial-pool-number 1
pppoe enable
exit
ip route 0.0.0.0 0.0.0.0 Dialer0 1
dialer-list 1 protocol ip permit[/TD]
[TD]Selected Interface :FastEthernet0/0
Dialer
ialer0PPPoE Encapsulation : Enabled
IP address :Unnumbered to FastEthernet0/1
AUTHENTICATION:CHAP and PAP
Username :fdl-111-222
Password :******
Default Route:
Destination Prefix: 0.0.0.0
Destination Prefix Mask: 0.0.0.0
Forwarding Interface (Exit Interface)
ialer0[/TD][/TR]
[/TABLE]
| Router#sh run Building configuration... Current configuration : 10026 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname Router ! ip cef ! ! username <your_username> password <your_password> ! ! interface FastEthernet0/0 ip address 192.168.2.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface FastEthernet0/1 no ip address no ip redirects ip route-cache flow ip tcp adjust-mss 1344 speed auto half-duplex pppoe enable pppoe-client dial-pool-number 1 ! interface Dialer0 description Interface for Internet access ip address negotiated ip mtu 1492 ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username <your_username_hare> password <your_pasword_here> ! ip route 0.0.0.0 0.0.0.0 Dialer0 ! ! ! end | Config Cisco 1800 serial dùng FTTH của FPT Hiện tại em dùng Leased Line thì chạy tốt nhưng tốc độ chậm quá, nếu nâng cấp LL thì giá lại quá cao. Nên quyết định chuyển sang FTTH của FPT. Vì hiện tại Website và Webmail đang chạy trên đường Leased Line Mình muốn config lại router là chạy được luôn chỉ còn đợi DNS và MX record update nữa thôi. Converter của FPT gắn vào cổng ethernet của router 1800. Đường FTTH của mình có tới 9 IP tỉnh, mình dùng đường này để publish webmail và website. Rank IP của mình được FPT cấp là: 210.245.111.184/29 Cấu hình để từ LAN có thể đi được internet. Để thay đổi MTU size có 2 cách -Chỉnh PPPoE MTU size trên Cisco DSL router. -Dùng soft Dr. TCP chỉnh MTU trên PC chỉnh MTU trên PC bằng registry. Cách 1: Int e0/0 Ip nat inside Ip adjust-mss 1452 [hoặc ip tcp adjust-mss 1452, IOS mới] Note: Do giá trị này là cộng của: - 20 bytes IP header - 20 bytes TCP header - 8 bytes PPPoE Cộng lại tất cả thành 1500 bytes vừa khích với MTU size trên Ethernetlink. Ip mtu: thiết lập mtu size của ip packet trên một interface. Interface dialer 1 Ip mtu 1492 =================================================== |
Tình hình là sau khi config xong, chạy ok chỉ trừ trang web của ngân hàng anz, không vào được http://www.anz.com http://www.anz.com.au, kêu thằng bạn nó test ở cty của nó cũng cofig cisco router cho FTTH của FPT thì nó cũng không vào được. Nhưng khi config trên modem bình thường thì vào được trang của ngân hàng anz.com. Trang anz.com cấm ping, tracert.
=================================================
Nguyên nhân & cách sử lý:
Dưới đây là mô tả giúp các bạn dễ hiểu hơn ip tcp adjust-mss dùng làm cái gì.
Khi một user yêu cầu đến một webserver, tiến trình thương lượng xảy ra. Trong quá trình thương lượng này bao gồm cả thương lượng MTU.
Vì PC thương lượng và mặc định MTU của PC là 1500, nên webserver cũng thương lượng MTU size là 1500.
Vì thế, không quan tâm đến kích thước MTU cấu hình trên router, webserver vẫn send packet với MTU kích thước là 1500 bytes.
Đây là lí do tại sao một số trang web không load đầy đủ, là do router fragment IP packet nếu gói này lớn hơn 1492 bytes được gởi đến router [ở đây là do AUC].
Sự fragment này không xảy ra trên hướng trả về đi qua access concentrator(UAC) (cisco 6400 hoặc 7200) (BRAS) [từ PPPoE-client đến BRAS]
Khi UAC nhận packet lớn hơn 1492, packet bị drop và UAC send một ICMP về cho webserver rằng “packet này quá lớn và cần send lại packet với MTU nhỏ hơn”.
Vấn đề đặt ra ở chỗ một số webserver block icmp nên những webserver này vẫn tiếp tục gửi packet với size 1500 cho client.
Kết quả packet này bị drop tại AUC và trang không load được tại PC.
Nếu webserver cấu hình đúng và icmp không bị block thì webserver sẽ đều chỉnh MTU và truyền lại cho tới khi trang web được load đầy đủ.
Chỉ một phần của trang web được load xảy ra khi lúc đầu data packet được send từ webserver dưới 1492 bytes.
Tuy nhiên sau đó packet này lớn hơn 1492 =>packet bị UAC drop.
Server tiếp tục truyền dẫn lại packet quá khổ này và kết quả là chỉ một phần của trang web được load và thông điệp chờ “waiting for relpy…” trong status bar.
Tools:
https://drive.google.com/folderview?id=0Byd5pXHPhHDOR2ZfSEhnMkE3YlE&usp=sharing
Sửa lần cuối: