Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

思科 ASA 系列命令参考，S 命令

第 1 章      same-security-traffic 至 shape 命令

例如，新连接接入

 ASA 1。SYN 数据包通过会话管理路径，而且连接的条目添加到快速路径表

中。如果此连接的后续数据包通过

 ASA 1，这些数据包将与快速路径中的条目进行匹配，然后通

过。但是，如果后续数据包前往

 ASA 2，其中没有经过管理会话路径的 SYN 数据包，快速路径中

也没有连接的对应条目，数据包将被丢弃。

如果在上游路由器中配置了非对称路由，且流量在两个

 ASA 之间交替，则可以为特定流量配置 

TCP 状态旁路。TCP 状态旁路将改变会话在快速路径中建立的方式，并且禁用快速路径检查。此
功能处理

 TCP 流量与处理 UDP 连接几乎一样：当与指定网络匹配的非 SYN 数据包进入 ASA，并

且没有快速路径条目时，这些数据包将通过会话管理路径，在快速路径中建立连接。流量到达快
速路径后，将绕过快速路径检查。

不支持的功能

使用

 TCP 状态旁路时不支持以下功能：

应用检查

 - 应用检查需要入站和出站流量通过同一 ASA，因此使用 TCP 状态旁路时不支持应

用检查。

AAA 验证的会话 - 当用户向一个 ASA 进行身份验证时，经由另一个 ASA 返回的流量将被拒
绝，因为用户未向该

 ASA 做身份验证。

TCP 拦截、最大初期连接限制、TCP 序列号随机化 - ASA 不跟踪连接的状态，因此这些功能
不适用。

TCP 标准化 - 禁用 TCP 规范器。

SSM 功能 - 不能使用 TCP 状态旁路和 SSM 上运行的任何应用，例如 IPS 或 CSC。

NAT 指南

由于转换会话单独为每个

 ASA 建立，因此请确保在两个 ASA 上为 TCP 状态旁路流量配置静态 

NAT ；如果使用动态 NAT，为 ASA 1 上的会话选择的地址，将不同于为 ASA 2 上的会话中选择
的地址。

连接超时指南

如果指定的连接上在

 2 分钟内没有流量，则连接超时。您可以使用 set connection timeout tcp 命

令覆盖此默认值。一般的

 TCP 连接超时默认为 60 分钟。

示例

以下是

 TCP 状态旁路的示例配置：

ciscoasa(config)# access-list tcp_bypass extended permit tcp 10.1.1.0 255.255.255.224 any

ciscoasa(config)# class-map tcp_bypass

ciscoasa(config-cmap)# description "TCP traffic that bypasses stateful firewall"

ciscoasa(config-cmap)# match access-list tcp_bypass

ciscoasa(config-cmap)# policy-map tcp_bypass_policy

ciscoasa(config-pmap)# class tcp_bypass

ciscoasa(config-pmap-c)# set connection advanced-options tcp-state-bypass

ciscoasa(config-pmap-c)# service-policy tcp_bypass_policy outside