Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

思科 ASA 系列命令参考，S 命令

第 17 章      subject-name 至 sysopt radius ignore-secret 命令

要强制每个

 TCP 连接在最后正常 TCP 关闭序列后短暂停留在 TIME_WAIT 状态至少 15 秒，请在

全局配置模式下使用

 sysopt connection timewait 命令。要禁用此功能，请使用此命令的 no 形

式。如果终端主机应用的默认

 TCP 中断序列是同时关闭序列，您可能想要使用此功能。

注意

RST 数据包（不是常规 TCP 关闭序列）也会触发 15 秒延迟。ASA 在接收到连接的最后一个数据
包（

FIN/ACK 或 RST）后，会保留连接 15 秒。

语法说明

此命令没有任何参数或关键字。

默认值

默认禁用此功能。

命令模式

下表展示可输入此命令的模式：

命令历史

使用指南

ASA 的默认行为是跟踪关闭序列，并在两个 FIN 以及最后一个 FIN 分段得到确认后释放连接。这
种快速启发式释放使

 ASA 可以根据最常见的关闭序列（又称为常规关闭序列）保持较高的连接

速率。但在同时关闭序列中，事务的两个终端都会发起关闭序列；与之相反，在常规关闭序列
中，如果一个终端关闭，另一个终端会先进行确认再发起自身的关闭序列（请参阅

 RFC 793）。

因此，在同时关闭序列中，快速释放会强制连接的一端停留在

 CLOSING 状态。当处于 

CLOSING 状态时，使用很多套接字可能会降低终端主机的性能。例如，某些 WinSock 大型机客
户端会表现出这种行为，因此会降低大型机服务器的性能。使用

 sysopt connection timewait 命令

可以预留同时关闭序列完成所需的时间。

示例

以下示例启用等待功能：

ciscoasa(config)# sysopt connection timewait

命令模式

防火墙模式

安全情景

路由

透明

单个

多个

情景

系统

全局配置

是

是

是

是

—

版本

修改

7.0(1)

引入了此命令。