Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet
1-92
思科 ASA 系列命令参考,S 命令
第 1 章 same-security-traffic 至 shape 命令
set connection timeout
set connection timeout
要为策略映射中的流量类指定连接超时,请在类配置模式下使用
set connection timeout 命令。要
删除超时,请使用此命令的
no 形式。
set connection timeout
{[embryonic hh:mm:ss] [idle hh:mm:ss [reset]] [half-closed hh:mm:ss]
[dcd [retry_interval [max_retries]]]}
no set connection timeout
{[embryonic hh:mm:ss] [idle hh:mm:ss [reset]] [half-closed hh:mm:ss]
[dcd [retry_interval [max_retries]]]}
语法说明
默认值
除非使用
timeout 命令全局更改默认值,否则默认值为:
•
默认
embryonic 超时为 30 秒。
•
默认
half-closed 空闲超时为 10 分钟。
•
默认
dcd max_retries 值为 5。
•
默认
dcd retry_interval 值为 15 秒。
•
默认
idle 超时为 1 小时。
•
默认
udp 空闲超时为 2 分钟。
•
默认
icmp 空闲超时为 2 秒。
•
默认
esp 和 ha 空闲超时为 30 秒。
•
对于所有其他协议,默认空闲超时为
2 分钟。
•
要想永不超时,请输入
0:0:0。
dcd
启用中断连接检测
(DCD)。DCD 可检测中断的连接并允许其过期,但不让仍
在处理流量的连接过期。如果想不操作但又保持连接有效,可以配置
DCD。
在
TCP 连接超时后,ASA 将发送 DCD 探测到终端主机,确定连接的有效
性。如果有一端主机在最大重试次数后未响应,
ASA 便会释放该连接。如果
两端主机响应连接有效,
ASA 会将活动超时更新为当前时间,并相应地重新
安排空闲超时。
embryonic
hh:mm:ss
hh:mm:ss
设置在
TCP 初期(半开)连接关闭之前的超时时间,范围是 0:0:5 到 1193:0:0。
默认值为
0:0:30。您也可以将此值设为 0,这表示连接永不超时。三向握手未完
成时的
TCP 连接即为初期连接。
half-closed
hh:mm:ss
hh:mm:ss
设置在半闭连接关闭之前的空闲超时时间,范围是
0:5:0(适用于 9.1(1) 及更
低版本)或
0:0:30(适用于 9.1(2) 及更高版本)到 1193:0:0。默认值为
0:10:0。您也可以将此值设为 0,这表示连接永不超时。半闭连接不受 DCD 影
响。此外,
响。此外,
ASA 在压倒半闭连接时不发送重置。
idle hh:mm:ss
设置在任何协议的现有连接关闭后的空闲超时时间。有效范围是
0:0:1 到
1193:0:0。
max_retries
设置在宣告连接中断之前
DCD 的连续失败尝试次数。最小值为 1,最大值为
255。默认值为 5。
reset
(仅适用于
TCP 流量)在空闲连接删除后发送 TCP RST 数据到两端系统。
retry_interval
每个
DCD 探测无响应后再发送另一个探测之前等待的时间(hh:mm:ss 格式),
范围是
0:0:1 到 24:0:0。默认值为 0:0:15。