Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
1-83
思科 ASA 系列命令参考,S 命令
第 1 章 same-security-traffic 至 shape 命令
set connection
set connection
要为策略映射中的流量类指定连接限制,请在类配置模式下使用
set connection 命令。要删除这
些指定,从而允许无限制连接,请使用此命令的
no 形式。
set connection
{[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n]
[per-client-max n] [random-sequence-number {enable | disable}]}
no set connection
{[conn-max n] [embryonic-conn-max n] [per-client-embryonic-max n]
[per-client-max n] [random-sequence-number {enable | disable}]}
语法说明
默认值
对于
conn-max、embryonic-conn-max、per-client-embryonic-max 和 per-client-max 参数,n 的
默认值为
0,这表示允许无限的连接。
默认启用序列号随机化。
命令模式
下表展示可输入此命令的模式:
conn-max n
设置允许的并发
TCP 和 UDP 连接最大数(0 至 2000000)。默认
值为
0,允许无限制连接。例如,如果两部服务器配置为允许并
发
TCP 和 / 或 UDP 连接,则连接限制分别应用到每部配置的服务
器。在类下配置时,此参数会限制整个类允许的并发连接最大
数。在这种情况下,一台攻击主机可能会占用所有连接,而该类
下访问列表中匹配的所有其他主机都没有连接。
数。在这种情况下,一台攻击主机可能会占用所有连接,而该类
下访问列表中匹配的所有其他主机都没有连接。
embryonic-conn-max n
设置允许的并发初期连接最大数(
0 至 2000000)。默认值为 0,
允许无限制连接。
per-client-embryonic-max n
设置每个客户端允许的并发初期连接最大数(
0 至 2000000)。客
户端定义为通过
ASA 发送初始连接数据包(建立新连接)的主
机。如果同时使用
access-list 与 class-map 来匹配此功能的流量,
将应用每个主机的初期限制,而不是与访问列表匹配的所有客户
端的初期连接总数。默认值为
端的初期连接总数。默认值为
0,允许无限制连接。此关键字不
适用于管理类映射。
per-client-max n
设置每个客户端允许的最大并发连接数(
0 至 2000000)。客户端
定义为通过
ASA 发送初始连接数据包(建立新连接)的主机。如
果同时使用
access-list 与 class-map 来匹配此功能的流量,将应用
每个主机的连接限制,而不是与访问列表匹配的所有客户端的连
接总数。默认值为
接总数。默认值为
0,允许无限制连接。此关键字不适用于管理
类映射。在类下配置时,此关键字通过类下的访问列表限制匹配
的每个主机允许的最大并发连接数。
的每个主机允许的最大并发连接数。
random-sequence-number
{enable | disable}
{enable | disable}
启用或禁用
TCP 序列号随机化。此关键字不适用于管理类映射。
有关详细信息请参阅 “ 使用指南 ”。
命令模式
防火墙模式
安全情景
路由
透明
单个
多个
情景
系统
类配置
•
是
•
是
•
是
•
是
—