Cisco Cisco ASA 5580 Adaptive Security Appliance Merkblatt
1-88
思科 ASA 系列命令参考,S 命令
第 1 章 same-security-traffic 至 shape 命令
set connection advanced-options tcp-state-bypass
set connection advanced-options tcp-state-bypass
要启用
TCP 状态旁路,请在类配置模式下使用 set connection advanced-options 命令。类配置模
式可从策略映射配置模式访问。要禁用
TCP 状态旁路,请使用此命令的 no 形式。
set connection advanced-options
tcp-state-bypass
no set connection advanced-options
tcp-state-bypass
语法说明
此命令没有任何参数或关键字。
默认值
默认禁用
TCP 状态旁路。
命令模式
下表展示可输入此命令的模式:
命令历史
使用指南
要启用
TCP 状态旁路,请使用模块化策略框架:
1.
class-map
- 标识要对其执行 TCP 状态旁路的流量。
2.
policy-map
- 标识与类映射关联的操作。
a.
class
- 标识您要对其执行操作的类映射。
b.
set connection advanced options tcp-state-bypass
- 将 TCP 状态旁路应用到类映射。
3.
service-policy
- 向接口分配策略映射或全局分配策略映射。
允许出站和入站流量通过单独的设备
默认情况下,所有经过
ASA 的流量都会使用自适应安全算法检查,并根据安全策略允许通过或
予以丢弃。
ASA 通过检查每个数据包的状态(这是新连接还是现有连接?)并将其分配到会话管
理路径(新连接
SYN 数据包)、快速路径(现有连接)或控制平面路径(高级检查),最大程
度地提高防火墙性能。
匹配快速路径中现有连接的
TCP 数据包,不重新检查安全策略的每个方面即可通过 ASA。此功
能可最大程度地提高性能。但是,使用
SYN 数据包在快速路径中建立会话的方法,以及在快速
路径中进行的检查(例如
TCP 序列号),可能会阻碍非对称路由解决方案:出站和入站连接流必
须通过同一
ASA。
命令模式
防火墙模式
安全情景
路由
透明
单个
多个
情景
系统
类配置
•
是
•
是
•
是
•
是
—
版本
修改
8.2(1)
引入了此命令。